Рейтинг: 4.1/5.0 (1889 проголосовавших)Категория: Бланки/Образцы
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ (ОБРАЗЕЦ)
I. Общие положения
1.1. Настоящее Положение по обработке персональных данных (далее - Положение) Организации (название Организации) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка Организации.
1.2. Цель разработки Положения - определение порядка обработки персональных данных работников Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Организации, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом.
1.4. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись
1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.
II. Основные понятия и состав персональных данных работников.
2.1. Для целей настоящего Положения используются следующие основные понятия:
- персональные данные работника - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Организации;
- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
- распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
- информация - сведения (сообщения, данные) независимо от формы их представления:
- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных работников Организации входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.
2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.
2.3.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника).
2.3.2. При оформлении работника в Организацию работником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и контактных телефонах.
2.3.3. В отделе кадров Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
2.3.3.1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Организации, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
2.3.3.2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Организации); документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.
III. Сбор, обработка и защита персональных данных
3.1. Порядок получения персональных данных.
3.1.1. Все персональные данные работника Организации следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника Организации о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
3.1.3. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
3.1.4. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Форма заявления о согласии работника на обработку персональных данных см. в приложении 1 к настоящему Положению.
3.1.5. Согласие работника не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
2) обработка персональных данных осуществляется в целях исполнения трудового договора;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
3.2. Порядок обработки, передачи и хранения персональных данных.
3.2.1. Работник Организации предоставляет работнику отдела кадров Организации достоверные сведения о себе. Работник отдела кадров Организации проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
3.2.2. В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина генеральный директор Организации (Работодатель) и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:
3.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2.2. При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
3.2.2.3. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.2.2.4. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.
3.2.2.5. Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.2.2.6. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
IV. Передача и хранение персональных данных
4.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных работников в пределах Организации в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.
4.2. Хранение и использование персональных данных работников:
4.2.1. Персональные данные работников обрабатываются и хранятся в отделе кадров.
4.2.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе «1С: Зарплата и кадры».
4.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных.
V. Доступ к персональным данным работников
5.1. Право доступа к персональным данным работников имеют:
- генеральный директор Организации;
- сотрудники отдела кадров;
- начальник отдела экономической безопасности (информация о фактическом месте проживания и контактные телефоны работников);
- сотрудники секретариата (информация о фактическом месте проживания и контактные телефоны работников);
- начальник отдела внутреннего контроля (доступ к персональным данным работников в ходе плановых проверок);
- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).
5.2. Работник Организации имеет право:
5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника.
5.2.2. Требовать от Работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных.
5.2.3. Получать от Работодателя
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.2.3. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных.
5.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.
5.4. Передача информации третьей стороне возможна только при письменном согласии работников.
VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
6.2. Генеральный директор Организации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.
1.2. Настоящее Положение определяет политику, порядок и условия оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
3) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
1.4. Обработка организована оператором на принципах:
- законности и справедливости;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.5. Обработка персональных данных операторов осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.
1.6. Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных в должности не ниже начальника структурного подразделения (или: заместителя руководителя оператора), именуемого далее "куратор ОПД".
1.6.1. Куратор ОПД получает указания непосредственно от исполнительного органа оператора и подотчетен ему.
1.6.2. Куратор вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.7. Настоящее Положение и изменения к нему утверждаются руководителем оператора и вводятся приказом оператора.
1.8. Сотрудники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными оператором графиками.
1.9. При обработке персональных данных оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 N 781, Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденной ФСТЭК РФ 14.02.2008, Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденными Приказом Роскомнадзора от 19.08.2011 N 706, Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных ФСБ РФ 21.02.2008 N 149/54-144.
1.10. Режим конфиденциальности персональных данных оператор обеспечивает в соответствии с Положением оператора о конфиденциальности.
1.11. Контроль за соблюдением сотрудниками оператора требований законодательства и положений локальных нормативных актов оператора организован в соответствии с Положением о внутреннем контроле оператора при обработке персональных данных.
1.12. Аудит соблюдения оператором требований законодательства и положений локальных нормативных актов оператора организован в соответствии с Положением оператора об аудите при обработке персональных данных.
1.13. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения оператором требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса РФ. Соотношение указанного вреда и принимаемых оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, установлены в Положении о недопущении оператором вреда при обработке персональных данных.
1.14. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных оператор проводит в соответствии с Положением оператора о раскрытии информации.
1.15. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей оператор до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
1.16. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных в течение ___ дней.
2. СТРУКТУРНЫЕ ПОДРАЗДЕЛЕНИЯ ОПЕРАТОРА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ2.2. Служба ОПД находится в непосредственном подчинении куратора ОПД.
2.3. Состав, уровень квалификации сотрудников, полномочия, функции, условия допуска сотрудников к персональным данным, порядок взаимодействия с другими структурными подразделениями оператора, ответственность Службы ОПД установлены в Положении о службе обработки персональных данных.
2.4. Служба ОПД под руководством куратора ОПД:
1) доводит до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.6. Отдел внутреннего контроля:
1) осуществляет внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) контролирует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
3. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ч. 1 и ч. 4 ст. 185 Гражданского кодекса РФ, ч. 2 ст. 53 Гражданского процессуального кодекса РФ или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате. Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных Службой ОПД в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется Куратором ОПД или иным уполномоченным приказом руководителя оператора сотрудником службы ОПД.
3.5. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. При наличии технической возможности запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе ч. 8 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
3.7.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии оператора. При этом рабочее место сотрудника оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.
3.7.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции РФ.
3.7.3. Для письменного согласия достаточно простой письменной формы.
Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.10.1. Текст устного разъяснения оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее трех лет.
3.10.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
3.11. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", относительно решения, вынесенного на основании исключительно автоматизированной обработки персональных данных:
- применительно к правоотношениям до 01.07.2011 - в течение семи рабочих дней со дня получения возражения;
- применительно к правоотношениям после 01.07.2011 - в течение тридцати дней со дня получения возражения.
Оператор уведомляет субъекта персональных данных о результатах рассмотрения возражения в течение _____ дней.
3.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.13. Оператор в течение _____ дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.14. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном оператором с иностранным контрагентом.
4. ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ И РАБОТНИКОВ ОПЕРАТОРА4.1. Руководитель оператора:
- оказывает содействие Куратору ОПД в выполнении им своих обязанностей;
- организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов оператора, а также причин и условий, способствовавших совершению нарушения.
4.2. Сотрудники оператора:
- оказывают содействие Куратору ОПД в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и Куратора ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов оператора другими работниками оператора или контрагентами оператора.
5. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ5.1. Контроль за исполнением Положения возложен на Отдел внутреннего контроля.
5.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11, 13.14 Кодекса об административных правонарушениях РФ) или уголовной ответственности (ст. ст. 137, 272 Уголовного кодекса РФ).
5.3. Руководители структурных подразделений оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
Начальник Службы ОПД: ________________/_____________/
С данным Положением ознакомлен(а) ________________/_____________/
« __ »____________201___г.
Положение о защите персональных данных работников
1. Общие положения
Настоящее положение о защите персональных данных устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным сотрудников ОАО «_________».
Под сотрудниками подразумеваются лица, имеющие трудовые отношения с ОАО «______________».
1.1. Цель
Настоящее положение о защите персональных данных является развитием комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у работодателя, посредством планомерных действий по совершенствованию организации труда.
2. Понятие и состав персональных данных
Под персональными данными сотрудников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника, а также сведения о фактах, событиях и обстоятельствах жизни сотрудника, позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
К персональным данным относятся:
- все биографические сведения сотрудника;
- образование;
- специальность;
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- состав семьи;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- размер заработной платы;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела, личные карточки (форма Т2) и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке
сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- анкета;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии;
- и т.п.
Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом. Собственником информационных ресурсов (персональных данных) – является субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные, и который вступил (стал сотрудником) или изъявил желание вступить в трудовые отношения с работодателем. Субъект персональных данных самостоятельно решает вопрос передачи работодателю своих персональных данных.
Держателем персональных данных является работодатель, которому сотрудник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
Права и обязанности работодателя в трудовых отношениях осуществляются физическим лицом, уполномоченным работодателем. Указанные права и обязанности он может делегировать нижестоящим руководителям – своим заместителям, руководителям структурных подразделений, работа которых требует знания персональных данных работников или связана с обработкой этих данных.
Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.
3. Принципы обработки персональных данных
Обработка персональных данных включает в себя их получение, хранение, комбинирование, передачу, а также актуализацию, блокирование, защиту, уничтожение.
Получение, хранение, комбинирование, передача или любое другое использование персональных данных сотрудника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Все персональные данные сотрудника получаются у него самого. Если персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение.
Не допускается получение и обработка персональных данных сотрудника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности. Пакет анкетно - биографических и характеризующих материалов (далее «Личное дело») сотрудника формируется в «Личное дело» после издания приказа о его приеме на работу. «Личное дело» обязательно содержит личную карточку формы Т2, а также может содержать документы, содержащие персональные данные сотрудника, в порядке, отражающем процесс приема на работу: заявление сотрудника о приеме на работу; анкета; характеристика-рекомендация; результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей; копия приказа о приеме на работу; расписка сотрудника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также об его правах и обязанностях в этой области; расписка сотрудника об ознакомлении его с локальными нормативными актами организации, правилами внутреннего трудового распорядка и т.д.
Все документы хранятся в файлах, файлы содержатся в папках в алфавитном порядке фамилий сотрудников. Анкета является документом «Личного дела», представляющим собой перечень вопросов о биографических данных сотрудника, его образовании, выполняемой работе с начала трудовой деятельности, семейном положении, месте прописки или проживания и т.п. Анкета заполняется сотрудником самостоятельно при оформлении приема на работу.
При заполнении анкеты сотрудник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержатся в его личных документах. В графе "Ближайшие родственники" перечисляются все члены семьи сотрудника с указанием степени родства (отец, мать, муж, жена, сын, дочь, родные брат и сестра); далее перечисляются близкие родственники, проживающие совместно с сотрудником. Указываются фамилия, имя, отчество и дата рождения каждого члена семьи.
При заполнении анкеты и личной карточки Т2 используются следующие документы:
• паспорт;
• трудовая книжка;
• военный билет;
• документы об образовании.
«Личное дело» пополняется на протяжении всей трудовой деятельности сотрудника в данной организации. Изменения, вносимые в карточку Т2, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке).
Сотрудник отдела кадров, ответственный за документационное обеспечение кадровой деятельности, принимает от принимаемого на работу сотрудника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами. При обработке персональных данных сотрудников работодатель в лице Генерального директора вправе определять способы обработки, документирования, хранения и защиты персональных данных сотрудников ОАО «____________» на базе современных информационных технологий.
Сотрудник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен ТК РФ;
- своевременно сообщать работодателю об изменении своих персональных данных.
Сотрудник имеет право на:
- полную информацию о своих персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника. Доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
Закажите составление документа по индивидуальному заказу.
