Положение о защите персональных данных работников образец. Разрабатываем положение о персональных данных

Персональные данные в трудовом праве

Понятие персональных данных (далее — ПД) закреплено в ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон 152-ФЗ), который был принят в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в Страсбурге 28.01.1981 и ратифицирована РФ 07.11.2001).

Согласно данной норме, персональные данные — это любые сведения, которые прямо или косвенно относятся к физическому лицу. Физическое лицо, на которого распространяются требования закона 152-ФЗ, признается субъектом персональных данных.

В Трудовом кодексе персональным данным работника и их защите посвящена глава 14, регулирующая вопросы хранения, использования и передачи третьим лицам ПД работников организации, требования к этим действиям, а также ответственность работодателя за нарушение законодательства, регулирующего данную сферу.

Обработка данных работодателем

Обработка ПД работников должна осуществляться в соответствии со следующими основными правилами, установленными ст. 86 ТК РФ:

• обработка может осуществляться лишь в интересах сотрудников или в связи с осуществлением ими трудовой деятельности;
• ПД могут быть получены организацией только от своего сотрудника или на основании его письменного согласия от третьей стороны;
• финансовый источник организации защиты рассматриваемых данных — средства работодателя;
• не допускается отказ работника от своих прав на защиту ПД, отказ в любой форме не может рассматриваться как действительный;
• меры по защите ПД — вопрос совместной деятельности работника и работодателя.

О правилах ведения работы с персональными данными в организации подробнее можно узнать .

Положение об обработке и защите персональных данных работников: содержание и образец

Обязанность предприятия иметь утвержденное положение о персональных данных работников следует из ст. 87 ТК РФ. Согласно данной норме, положение разрабатывается и утверждается работодателем самостоятельно. При этом оно должно отвечать требованиям Трудового кодекса и иных правовых актов в сфере защиты ПД и регулировать вопросы их хранения и использования.

Не знаете свои права?

Закон не устанавливает структуру документа, но практикой выработаны основные разделы, которые желательно указать в положении.

В их число входят:

1. Вводная часть, отражающая основания принятия локального акта. В ней также перечисляются нормы законодательства, регулирующие вопросы обработки ПД, а также раскрываются основные понятия, используемые в Положении (можно взять из ст. 3 закона 152-ФЗ).
2. Перечень сведений, составляющих ПД сотрудников фирмы.
3. Перечень обрабатываемых организацией документов, в которых такие сведения содержатся.
4. Правила обработки данных.
5. Порядок получения доступа к ПД тех или иных лиц.
6. Меры, направленные на защиту обрабатываемых данных.
7. Права и обязанности сторон правоотношений в области работы с ПД.
8. Ответственность организации за нарушения в сфере охраны и защиты ПД.

С положением о защите персональных данных работников необходимо ознакомить под расписку.

Образец положения о персональных данных работников можно скачать по ссылке ниже:

Порядок принятия

Положение об обработке персональных данных работников является локальным актом организации, потому порядок его разработки и утверждения подчиняется общим требованиям ст. 8 ТК РФ, а также внутренним правилам делопроизводства.

Как правило, данный документ разрабатывается кадровой службой или работником, отвечающим за кадровые вопросы на предприятии. Утверждение его осуществляется приказом руководителя или иного лица, уполномоченного работодателем на издание локальных актов в сфере обработки и защиты ПД (например, курирующий заместитель руководителя).

Положение подписывается руководителем организации. Положению присваивается порядковый номер, на нем проставляется дата издания, а также печать (при ее наличии).

Ответственность работодателя

За нарушение установленных законом требований в области защиты ПД, на основании ст. 90 ТК РФ предусмотрены различные виды ответственности:

• материальная — при нанесении материального ущерба нарушениями в обращении с персональными данными (ст. 232, 233 ТК РФ);
• дисциплинарная — нарушитель может быть подвергнут актом руководителя дисциплинарному взысканию, такому как замечание, выговор, увольнение, на основании ст. 192 ТК РФ;
• гражданско-правовая ответственность — например, возмещение убытков по ст. 15 ГК РФ, компенсация морального вреда по ст. 151 ГК РФ;
• ответственность административного характера, предусмотренная ст. 13.11 КоАП РФ;
• уголовная ответственность — за нарушения, повлекшие серьезные или тяжкие последствия (например, публичное распространение частных данных), по ст. 137 УК РФ.

***

Подведем итоги:

• под понятие ПД подпадает любая информация, относящаяся к конкретному работнику;
• обработка данных осуществляется в соответствии со ст. 86 ТК РФ и требованиями внутреннего Положения организации;
• содержание Положения не устанавливается на законодательном уровне, но в силу закона оно должно регулировать порядок хранения и использования ПД;
• Положение является локальным (внутренним) документом, потому принимается по общим правилам принятия таких актов в организации (ст. 8 ТК РФ);
• за нарушение правил обработки и распространения ПД нарушитель несет различные виды ответственности (от дисциплинарной до уголовной).

Расскажем, как составить положение о защите персональных данных работников-2019 (образец), скачать готовый шаблон и проработать все разделы, чтобы не вызвать претензий со стороны ГИТ и Роскомнадзора.

В статье:

В процессе трудоустройства, а зачастую - даже раньше, еще на этапе предварительного анкетирования и собеседования, работник предоставляет работодателю определенные сведения, носящие личный характер. Такая информация относится к категории конфиденциальной и не подлежит разглашению третьим лицам. Более того, далеко не все виды сведений можно запрашивать - к примеру, вопрос о религиозной принадлежности или политических взглядах соискателя будет неуместным на любом собеседовании.

Работодателю разрешено интересоваться только теми аспектами личной жизни сотрудника, которые имеют непосредственное отношение к его работе и способны повлиять на качество ее выполнения. Подробнее об этом читайте в статье «Какие документы нужно истребовать у сотрудника при приеме на работу». Эксперт расскажет, когда допустимо запрашивать дополнительные документы, не предусмотренные общими положениями ст.65 ТК РФ, о чем необходимо помнить при трудоустройстве иностранца, и почему требовать для ознакомления ИНН (индивидуальный налоговой номер) соискателя можно лишь в редких случаях.

Какие данные считаются персональными

Определение данного понятия содержится в законе №152-ФЗ от 27.07.2006г., ключевом нормативном документе, на федеральном уровне закрепляющем основные нормы и принципы обращения с информацией личного характера. Согласно ст.3 закона №152-ФЗ, персональными считаются любые данные, относящиеся прямо или косвенно к конкретному субъекту (физическому лицу). Субъект может предоставлять сведения о себе оператору - государственному или муниципальному органу, работодателю (юридическому или физическому лицу).

Оператор не имеет права обрабатывать полученную информацию или разглашать ее третьим лицам без согласия субъекта. обеспечивается законодательством РФ: вышеупомянутым федеральным законом №152-ФЗ, отдельными статьями Трудового, Уголовного и Гражданского кодексов РФ, а также ст.5.39 и 13.11-13.14 Кодекса об административных правонарушениях РФ. Действие этих норм распространяется на организации всех форм собственности.

Каждая компания, собирающая личные сведения о своем персонале, должна составить и утвердить положение о защите персональных данных работников-2019 (скачать образец можно в нашей онлайн-базе кадровых документов). Так называется локальный нормативный акт, устанавливающий порядок работы с персональными данными в рамках конкретного предприятия согласно требованиям ст.87 ТК РФ. В сфере государственной гражданской службы разрабатывается «Положение о персональных данных государственного гражданского служащего и ведении его личного дела», как того требует указ президента РФ №609 от 30.05.2005г.

Основные виды сведений личного характера

Условно весь объем персональных данных о том или ином субъекте можно разделить на пять видов:

• общие;
• общедоступные;
• обезличенные;
• специальные;
• биометрические.

Общей информацией считаются паспортные данные человека (фамилия, имя, отчество, дата рождения, семейное положение), адрес, номер телефона, сведения о полученном образовании и т.д. Актуальное законодательство не содержит исчерпывающего перечня общих данных, зато весьма подробно перечисляет разновидности специальных данных, для которых установлены особые правила сбора, обработки и хранения. К ним относятся сведения о:

• состоянии здоровья;
• интимной жизни;
• наличии судимостей;
• вероисповедании;
• философских и политических убеждениях;
• расовой и национальной принадлежности.

Запрашивать специальные данные для обработки можно лишь в строго определенных случаях - в целях медицинского (с непременным соблюдением врачебной тайны) или страхового обслуживания, для осуществления правосудия, в рамках противодействия терроризму, для защиты жизни или здоровья субъекта. Информация о судимости обрабатывается только при наличии федерального закона, устанавливающего необходимость такой обработки. Кроме того, не возбраняется обрабатывать специальные сведения, если сам субъект дал на это письменное согласие или сделал их общедоступными.

Внимание! Общедоступной считается информация, размещенная владельцем в публичных источниках - газетах, журналах, адресных и телефонных справочниках, социальных сетях.

Биометрическими называют сведения о физиологических или биологических особенностях конкретного человека: росте, телосложении, отпечатках пальцев, рисунке радужной оболочки глаза, результатах генетических и иных исследований, позволяющих установить его личность. Иногда без них не обойтись. Типичный случай применения «биометрики» описывается в заметке «Может ли работодатель снимать отпечатки пальцев сотрудников для организации пропускного режима»: результаты дактилоскопии позволяют моментально идентифицировать работника, что очень важно при проведении мероприятий с ограниченным допуском.

Обрабатывать и хранить биометрические данные следует в соответствии с постановлением Правительства РФ №512 от 6.07.2008г. После достижения или утраты цели обработки биометрические, специальные и общие персональные данные должны обезличиваться. Установить принадлежность обезличенных сведений (например, обработанных результатов статистических отчетов и опросов) конкретному человеку невозможно.

Внимание! Данные, которые по объективным причинам не получается обезличивать, должны уничтожаться.

Составляя положение о персональных данных работников (образец-2019), не забудьте прописать правила обработки разных видов информации, в том числе - биометрической, если организация ее собирает и использует в работе.

Какие функции выполняет положение о защите персональных данных-2019

Так или иначе, работодатель получает доступ к определенной информации о частной жизни работника. Заполнение личной карточки (унифицированная форма Т-2), предоставление различных льгот и компенсаций, оформление налогового вычета - вот лишь малый список стандартных процедур, для проведения которых приходится запрашивать у сотрудника сведения о состоянии здоровья, составе семьи и т.д. А раз осуществляется обработка, то необходимо и положение о защите персональных данных (образец документа рассмотрен ниже).

Внимание! Получать личные сведения о сотруднике нужно непосредственно от него, а не от третьих лиц.

Даже в пределах одной организации передавать личные сведения можно только в соответствии с локальным нормативным актом, с которым весь персонал должен предварительно ознакомиться под роспись. Необходимость такого ознакомления закреплена п.8 ст.86 ТК РФ. Чтобы грамотно составить документ, скачайте образец положения о персональных данных работников 2019: образец разработан с учетом актуальных законодательных требований и разбит на шесть тематических разделов.

Положение о персональных данных работников: образец структуры

Само понятие обработки информации охватывает разные виды операций, перечисленные в п.3 ст.3 федерального закона №152-ФЗ. Сначала проводится сбор, запись и систематизация сведений. Далее имеет место их накопление, хранение и использование. Данные можно уточнять, обновлять или изменять, извлекать и передавать (распространять). Если нет необходимости в использовании персонализированной информации, ее обезличивают или уничтожают. Поэтому положение о работе с персональными данными работников (образец-2019) поделено на разделы, посвященные разным этапам обработки информации:

• общие положения;
• получение и систематизация;
• хранение;
• использование;
• передача;
• гарантии конфиденциальности.

Разумеется, предложенную структуру можно корректировать по мере необходимости - объединять имеющиеся разделы и добавлять новые, включать дополнительные перечни и приложения. Но даже самое простое типовое положение о персональных данных работника (образец из шести разделов) представляет собой удобную стартовую заготовку, на базе которой можно разработать полноценный документ, адаптированный к условиям работы конкретного предприятия.

Положение о персональных данных: порядок обработки и хранения информации

Разрабатывая в 2019 году положение о персональных данных, образец можно использовать как основу. Особое внимание следует уделить разделам, посвященным порядку сбора, систематизации и хранения информации. Чем подробнее прописан каждый пункт, тем лучше и безопаснее для работодателя. Если при приеме на работу проводится обязательное анкетирование соискателей, максимально точно опишите процедуру и перечислите конкретные виды запрашиваемых сведений:

Хранение любых носителей личной информации - бумажных, электронных и любых других - предполагает ограничение доступа к ним. В этих целях используются отдельные помещения, сейфы, запирающиеся шкафы, специальные папки и запароленные электронные базы данных. Запрашивать конфиденциальные сведения без особого разрешения может лишь ограниченный круг должностных лиц.

Все эти нюансы нужно внести в положение о защите персональных данных работников-2019; образец соответствующего раздела будет выглядеть примерно так:

Каждый работник имеет законное право знать, как именно и в каком объеме обрабатываются и используются его персональные данные, а также исправлять или исключать неверные, неполные или обработанные с нарушениями сведения о себе.

Положение о работе с персональными данными работников 2019: образец оформления раздела о передаче сведений

Работодателю разрешается передавать сведения личного характера третьим сторонам, но только при определенных обстоятельствах - например, в целях предупреждения угрозы жизни и здоровью работника или в случаях, предусмотренных федеральными законами. При этом данные не становятся общедоступными, а конфиденциально передаются уполномоченному лицу.

Во всех остальных случаях действует норма, закрепленная ст.7 закона №152-ФЗ и требующая каждый раз, когда возникает такая потребность, запрашивать у субъекта согласие на передачу его личных данных. При этом данные передаются в ограниченном объеме, необходимом для выполнения конкретной функции и не более того.

Обязательно добавьте раздел о правилах передачи конфиденциальной информации в положение о персональных данных работников-2019 (образец): скачать готовый документ можно . Пример оформления раздела выглядит так:

Работодатель должен вести учет выдачи любых сведений личного характера, имеющих отношение к работникам предприятия. С этой целью заводится специальный журнал (книга) либо электронный документ. В идеале записи стоит дублировать, сохраняя и на электронных, и на бумажных носителях. О тонкостях электронного документооборота читайте в заметках «Как передать в архив », «Может ли организация вести в электронном виде, не распечатывая» и «Как будут переходить на < ».

Как утвердить положение о персональных данных работников-2019: образец приказа

Утвердить положение о защите персональных данных работников (образец-2019) можно двумя способами: издать отдельный приказ или же просто предусмотреть на бланке основного документа специальное поле для заверительных реквизитов. Работодатели, не желающие множить количество бумажной работы, обычно предпочитают второй способ и добавляют необходимые поля в «шапку»:

Утверждая документ, руководитель организации ставит на нем личную подпись и печать. Если же выбран первый, более трудоемкий способ утверждения, составляется соответствующий распорядительный документ. Он оформляется в общем порядке и, по сути, ничем не отличается от стандартных приказов об утверждении внутренних нормативных актов компании. Рекомендуем ознакомиться со статьей-шпаргалкой «Как принять »: вы узнаете, как сформировать рабочую группу и назначить ответственных должностных лиц, назначить сроки разработки, составить и согласовать с профсоюзом проект документа.

Если ранее работодателем применялась другая редакция положения, при введении в действие новой редакции как образец используется приказ об утверждении обновленных ПВТР или любого другого локального акта:

Внимание! Если в организации есть юридический отдел или штатный юрисконсульт, рекомендуется согласовать с ним положение о защите персональных данных работников-2019 (образец скачать можно на сайте нашего электронного журнала) прежде, чем документ отправится для окончательного утверждения к руководителю предприятия.

Уведомление об обработке персональных данных

Помимо ряда основных мер по защите личных данных персонала, законом предусмотрена еще одна обязанность оператора - извещение Роскомнадзора о предстоящей обработке персональных данных. Эта норма присутствует в российском законодательстве с 2007 года. Форма уведомления, применяемая в настоящее время, утверждена в 2008 году. В помощь кадровику - полезная статья «Как уведомить контролирующее ведомство о начале ».

Сразу отметим, что требование об извещении распространяется не на всех работодателей. Согласно ст.22 закона №152-ФЗ, не обязаны составлять уведомление для Роскомнадзора организации, которые:

• обрабатывают полученные сведения в соответствии с трудовым законодательством;
• получают информацию в связи с заключением договора и используют ее исключительно в рамках исполнения договоренностей;
• получают данные, признанные общедоступными или включающие только фамилии, имена и отчества субъектов;
• запрашивают информацию однократно в целях пропуска субъекта на территорию оператора;
• относятся к числу религиозных или общественных и обрабатывают информацию в условиях конфиденциальности для достижения законных целей.

Чтобы каждый раз не уведомлять Роскомнадзор об обработке данных, работодатель, использующий сведения о работниках исключительно в рамках трудового законодательства, может закрепить соответствующее условие внутренними документами. Пропишите в положениях и других локальных актах основные направления деятельности компании и цели, с которыми она ведет сбор и обработку личной информации о персонале.

Ответственность за нарушение правил обработки сведений личного характера

За нарушение законодательства о защите персональной информации виновное лицо можно привлечь не только к дисциплинарной, но и к административной, а в некоторых случаях - и уголовной ответственности. Мера ответственности выбирается с учетом вида, тяжести и обстоятельств совершения проступка. Детали - в статье « . Что важно проверить».

Следует помнить, что серьезным нарушением считается и неправомерный доступ к электронной информации, охраняемой законом, и нарушение неприкосновенности частной жизни. Сюда же относится ненадлежащее хранение персональных данных, а также непреднамеренное, совершенное без злого умысла разглашение конфиденциальных сведений, доступ к которым был получен при выполнении трудовых обязанностей. Пострадавшая сторона может через суд потребовать возмещения материального и морального ущерба, нанесенного неправомерными действиями должностного лица.

Размеры штрафов, выплачиваемых работодателями за несоблюдение правил обработки личных данных персонала, постоянно увеличиваются и в настоящее время исчисляются десятками тысяч рублей. Поэтому если в организации не применяется или вовсе отсутствует положение о защите персональных данных работников, образец документа, составленного с учетом всех требований закона, явно не будет лишним.

ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ХХХ»

Приложение № 1

к приказу № ____ от ________

об утверждении «Положения

о персональных данных работников»

УТВЕРЖДАЮ:

Генеральный директор

ООО «ХХХ»

___________ /___________________/

«____»____________ ________ г.

ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

ОБЩИЕ ПОЛОЖЕНИЯ.

1.1. Настоящим Положением «О персональных данных работников» определяется порядок обращения с персональными данными работников ООО "ХХХ" (далее по тексту - Общество).

1.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Общества и ее работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.

1.3. Персональные данные работника – это любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями, в том числе:

Фамилия, имя, отчество;

Пол, возраст;

Физиологические особенности человека;

Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

Состояние здоровья и сексуальная ориентация;

Принадлежность лица к конкретной нации, этнической группе, расе;

Место жительства;

Привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);

Семейное положение, наличие детей, родственные связи;

Факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);

Финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

Деловые и иные личные качества, которые носят оценочный характер;

Фотография;

Прочие сведения, которые могут идентифицировать человека.

1.4. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества). Режим конфиденциальности в отношении персональных данных снимается:

В случае их обезличивания;

По истечении 75 лет срока их хранения;

В других случаях, предусмотренных федеральными законами.

1.5. Информация, содержащая персональные данные работников, используется Обществом, в частности, в целях выполнения требований действующего законодательства на территории РФ:

Трудового законодательства при приеме на работу, при предоставлении гарантий и компенсаций;

Налогового законодательства, в частности, в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;

Пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;

При оформлении всех видов страхования, в том числе общего медицинского страхования;

При заполнении первичной учетной документации.

ОСНОВНЫЕ ПОНЯТИЯ. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

2.1. Для целей настоящего Положения используются следующие основные понятия:

2.1.1. персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2.1.2. обработка персональных данных работника - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

2.1.3. конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;

2.1.4. распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или представление доступа к персональным данным работников каким-либо иным способом;

2.1.5. использование персональных данных - действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

2.1.6. блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;

2.1.7. уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;

2.1.8. обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;

2.1.9. общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

2.1.10. информация - сведения (сообщения, данные) независимо от формы их представления;

2.1.11. документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. Информация, представляемая работником при поступлении на работу в Общество, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет:

2.2.1. паспорт, удостоверяющий личность;

2.2.2. трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

2.2.3. страховое свидетельство государственного пенсионного страхования;

2.2.4. документы воинского учета - для лиц, подлежащих воинскому учету;

2.2.5. документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

2.2.6. свидетельство о присвоении ИНН (при наличии).

2.3. При оформлении работника Отделом по управлению персоналом заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:

Общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

Сведения о воинском учете;

Данные о приеме на работу;

Сведения об аттестации;

Сведения о повышенной квалификации;

Сведения о профессиональной переподготовке;

Сведения о наградах (поощрениях), почетных званиях;

Сведения об отпусках;

Сведения о социальных гарантиях;

Сведения о месте жительства и о контактных телефонах.

2.4. В Отделе по управлению персоналом создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

2.4.1. Документы, содержащие персональные данные работников:

Анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу;

Копия документа, удостоверяющего личность работника (здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа);

Личная карточка № Т-2 (в ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность);

Трудовая книжка или ее копия (содержит сведения о трудовом стаже, предыдущих местах работы);

Копии свидетельств о заключении брака, рождении детей (такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных действующим трудовым и налоговым законодательством на территории РФ);

Документы воинского учета (содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников);

Справка о доходах с предыдущего места работы (необходима работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с действующим налоговым законодательством на территории РФ);

Документы об образовании (подтверждают квалификацию работника, обосновывают занятие определенной должности);

Документы обязательного пенсионного страхования (необходимы работодателю для уплаты за работника соответствующих взносов);

Трудовой договор (в нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника);

Подлинники и копии приказов по личному составу (в них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника);

Дела, документы, содержащие основания к приказу по личному составу;

Дела, документы, содержащие материалы аттестаций работников;

Дела, документы, содержащие материалы внутренних расследований в Обществе;

Справочно-информационный банк данных по персоналу (картотеки, журналы);

Подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений;

Копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

2.4.2. Документация по организации работы структурных подразделений:

Должностные инструкции работников;

Приказы, распоряжения, указания руководства Общества;

Документы учета, анализа по вопросам кадровой работы, работы управления персоналом.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ.

3.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.3. Обработка персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

Персональные данные являются общедоступными;

Персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

По требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.

3.4. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.5. Письменное согласие работника на обработку своих персональных данных должно включать в себя:

Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

Наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

Цель обработки персональных данных;

Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

Срок, в течение которого действует согласие, а также порядок его отзыва.

3.6. Согласие работника не требуется в следующих случаях:

Обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных

И круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;

Обработка персональных данных в целях исполнения трудового договора;

Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.7. Работники Общества представляют в Отдел по управлению персоналом достоверные сведения о себе.

3.8. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Общества и его законные, полномочные представители при обработке персональных данных работника должны выполнять следующие общие требования:

3.8.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.8.2. При определении объема и содержания обрабатываемых персональных данных Генеральный директор Общества руководствуется Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.8.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.

3.8.4. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.

3.8.5. Работники и их представители должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.8.6. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

3.9. Требования к обработке персональных данных.

В соответствии со ст. 3 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» обработка персональных данных - это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных.

Согласно ст. 5 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» персональные данные должны обрабатываться на основе принципов:

1) законности целей и способов обработки и добросовестности;

2) соответствия целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых данных, способов обработки целям их обработки;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, лишних по отношению к целям, заявленным при сборе данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Работодатель учитывает положения ст. 86 Трудового Кодекса РФ, в соответствии с которой обработка персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества.

3.10. Условия обработки персональных данных.

В соответствии со ст. 6 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» персональные данные должны обрабатываться с согласия (Приложение № 1.1.) субъектов персональных данных. Однако в силу п.2.ч.2 указанной статьи такого согласия не требуется, если обработка этих данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Исходя из упомянутой нормы обработка персональных данных работников, отношения с которыми оформлены трудовыми договорами, может происходить без согласия работников и работодатель имеет право и не требовать от работников согласия на такую обработку.

При недееспособности субъекта персональных данных письменное согласие на обработку его данных дает его законный представитель. В случае смерти субъекта персональных данных такое согласие оформляют его наследники, если оно не было получено от самого субъекта при жизни.

В случае отзыва работников согласия на обработку персональных данных работник оформляет в письменном виде работодателю Отзыв согласия на обработку персональных данных (Приложение № 1.2).

Приложение № 1.1., Приложение № 1.2. являются неотъемлемой частью Положения «О персональных данных», утвержденное настоящим приказом.

3.11. Обработка персональных данных без использования средств автоматизации.

К обработке персональных данных работников в Обществе применяются правила, предусмотренные для обработки данных без использования средств автоматизации, с учетом требований, указанных в п.3 ст. 4 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» о порядок обработки персональных данных, осуществляемой без использования средств автоматизации, «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 N 687.

ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

4.1.4. Осуществлять передачу персональных данных работников в пределах Общества в соответствии с настоящим Положением.

4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.1.7. Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

4.2. Персональные данные работников обрабатываются и хранятся в Отделе по управлению персоналом.

4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

4.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

Наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

Цель обработки персональных данных и ее правовое основание;

Предполагаемые пользователи персональных данных;

Установленные федеральными законами права субъекта персональных данных.

4.5. Лица и органы, которым могут передаваться персональные данные без согласия работников.

При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) - также его родственников. В данной ситуации согласия работника на передачу его персональных данных не требуется (ст. 228 Трудовой Кодекс РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 Трудовой Кодекс РФ.

Работодатель также обязан предоставить персональные данные работников государственным инспекторам труда при осуществлении ими надзорно-контрольной деятельности (ст. 357 Трудового Кодекса РФ). В соответствии со ст. 9 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" работодатель обязан представить указанные данные в Пенсионный фонд РФ в следующих случаях:

При начальной регистрации застрахованных лиц для индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;

При приеме на работу не имевших до этого страхового стажа и страхового свидетельства обязательного пенсионного страхования граждан или при заключении с ними договоров гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы;

При ликвидации, реорганизации юридического лица;

При утрате работающим у него застрахованным лицом страхового свидетельства обязательного пенсионного страхования;

При изменении передаваемых сведений о работающих у него застрахованных лицах.

Согласно п. 2 ст. 11 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" страхователь представляет в Пенсионный фонд РФ ежеквартально, но не позднее 1 марта о каждом работающем у него застрахованном лице сведения, в которых указывает:

1) страховой номер индивидуального лицевого счета;

2) фамилию, имя и отчество;

3) дату приема на работу (для застрахованного лица, принятого на работу в течение отчетного периода) или дату заключения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;

4) дату увольнения (для застрахованного лица, уволенного в течение отчетного периода) или дату прекращения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;

5) сумму заработка (дохода), на который начислялись пенсионные взносы;

6) сумму начисленных пенсионных взносов;

7) другие сведения, необходимые для правильного начисления трудовой пенсии;

8) суммы страховых взносов, уплаченных за застрахованное лицо, которое является субъектом профессиональной пенсионной системы;

9) периоды трудовой деятельности, включаемые в профессиональный стаж застрахованного лица, которое является субъектом профессиональной пенсионной системы.

Федеральными законами могут быть предусмотрены иные случаи передачи персональных данных без согласия работника.

4.6. Оформление согласия работника на передачу его персональных данных.

В соответствии со ст. 88 Трудового Кодекса РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Без согласия работника персональные данные не могут быть переданы работодателем в коммерческих целях. Соответственно, для передачи персональных данных необходимо письменное согласие работника (Приложение № 1.3.). В соответствии со ст. 88 Трудового Кодекса РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. В соответствии с требованиями ст. 88 Трудового Кодекса РФ ввести в действие Приложение № 1.4 (образец запроса о предоставлении персональных данных работника), Приложение № 1.5. (образец ответа на запрос о предоставлении персональных данных работников).

Приложение № 1.3., Приложение № 1.4., Приложение № 1.5. являются неотъемлемой частью настоящего Положения «О персональных данных», утвержденное приказом.

ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКОВ.

5.1. Право доступа к персональным данным работников имеют в полном объеме:

Генеральный директор;

Заместитель Генерального директора по связям с общественностью;

Начальник отдела управления персоналом.

Всем остальным руководителям доступ к персональным данным работникам осуществляется только к личным данным работника своего подразделения.

5.2. Работник Общества имеет право:

5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.

5.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.

5.2.3. Получать от работодателя:

Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

Перечень обрабатываемых персональных данных и источник их получения;

Сроки обработки персональных данных, в том числе сроки их хранения;

Сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.

5.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения менеджера по персоналу.

5.4. Передача информации третьей стороне возможна только при письменном согласии работников.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Ответственность работника, имеющего доступ к персональным данным других работников.

Исходя из смысла ст. 90 Трудового Кодекса РФ работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной (ст. 193 ТК РФ, ст. 90 ТКФ, ст. 81 ТК РФ) и материальной (ст.ст. 90, 238, 243 ТК РФ), а также к гражданско-правовой (ст. 151 ГК РФ, ч.2 ст.1099 ГК РФ, ст. 152 ГК РФ), административной (ст. 13.14. КоАП РФ) и уголовной ответственности (ст. 137 УК РФ).

6.2. Работодатель как юридическое лицо может быть привлечен к административной ответственности за нарушение порядка сбора, хранения, использования или распространения персональных данных. Генеральный директор, как руководитель юридического лица несет ответственность за нарушение как должностное лицо.

ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

7.1. Получение персональных данных от работника.

В соответствии с п. 3 ст. 86 ТК РФ все персональные данные работника работодатель получает у него лично. Если такие данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

В соответствии с п. 1 ст. 9 Федерального закона № 152-ФЗ от 27.07.2006г. «О персональных данных» субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. В соответствии с вышеуказанным ФЗ № 152-ФЗ Работодатель обязан представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных – обязан доказать, что эти данные являлись общедоступными (п. 1 ст. 9 Закона о персональных данных). Согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.

7.2. Получение персональных данных работника от третьих лиц. Согласие работника на предоставление таких данных третьими лицами.

Согласно п. 3 ст. 86 Трудового Кодекса РФ если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен (Приложение № 1.6. – согласие работника на получение работодателем получением персональных данных от третьих лиц) об этом заранее и от него должно быть получено письменное согласие (Приложение № 1.7. – согласие работника на получение работодателем получение персональных данных от третьих лиц). Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.

В уведомлении необходимо указать цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться данные), способы получения данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица.

Целями получения персональных данных работника у третьего лица в соответствии с п. 1 ст. 86 Трудового Кодекса РФ являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества. Следовательно, запрашивать иную информацию, не имеющую отношения к вышеназванным целям, от третьих лиц работодатель не вправе даже с согласия работника».

Приложение № 1.6., Приложение № 1.7. являются неотъемлемой частью настоящего Положения «О персональных данных», утвержденное приказом.

ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

8.1. Организация учета и хранения персональных данных.

Согласно п.7. ст. 86 Трудового Кодекса РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 Трудового Кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем.

8.2. Оформление журналов учета персональных данных.

Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то Работодатель ведет журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников Общества к персональным данным других работников) указываются такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодатель ведет журнал учета выдачи персональных данных работников организациям и государственным органам, в котором регистрирует поступающие запросы, а также фиксирует сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечает, какая именно информация была передана.

Работодатель имеет право проводить регулярные проверки наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи Отделу управления персоналом необходимо вести журнал проверок наличия документов, содержащих персональные данные работника.

8.3. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным.

В соответствии с пунктом 7 ст. 86 Трудового Кодекса РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. Следовательно, работодатель оформляет с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении (Приложение № 1.8. – Обязательство о неразглашении персональных данных);

8.4. Изменение и дополнение персональных данных .

Работник в течение одного рабочего дня обязан письменно уведомить Работодателя об изменении своих персональных данных, приложив соответствующие копии документов к письму-уведомлению об изменении своих персональных данных.

В случае изменений персональных данных работника работники Отдела управления персоналом составляют соглашение к трудовому договору об изменении персональных данных у работника.

1. Общие положения

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового Кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона "Об информации, информатизации и защите информации"

1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.4. Настоящее Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

2. Понятие и состав персональных данных

2.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят:

Анкетные и биографические данные;

Образование;

Сведения о трудовом и общем стаже;

Сведения о составе семьи;

Паспортные данные;

Сведения о воинском учете;

Сведения о заработной плате сотрудника;

Сведения о социальных льготах;

Специальность,

Занимаемая должность;

Наличие судимостей;

Адрес места жительства;

Домашний телефон;

Место работы или учебы членов семьи и родственников;

Характер взаимоотношений в семье;

Состав декларируемых сведений о наличии материальных ценностей;

Подлинники и копии приказов по личному составу;

Личные дела и трудовые книжки сотрудников;

Основания к приказам по личному составу;

Копии отчетов, направляемые в органы статистики.

2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

3. Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.

3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.

3.2.4. Персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.

3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:

Бухгалтерии;

Сотрудники службы управления персоналом;

Сотрудники компьютерных отделов.

3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.

3.5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

Не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

Разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

Передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

3.5.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4. Доступ к персональным данным

4.1. Внутренний доступ (доступ внутри организации).

4.1.1. Право доступа к персональным данным сотрудника имеют:

Генеральный директор организации;

Руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);

При переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;

Сам работник, носитель данных.

Другие сотрудники организации при выполнении ими своих служебных обязанностей.

4.1.2. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом генерального директора организации.

4.2. Внешний доступ.

4.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:

Налоговые инспекции;

Правоохранительные органы;

Органы статистики;

Страховые агентства;

Военкоматы;

Органы социального страхования;

Пенсионные фонды;

Подразделения муниципальных органов управления;

4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

4.2.4. Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ).

5. Защита персональных данных

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

5.5. "Внутренняя защита".

5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.

5.5.2. Для обеспечении внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

Ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

Строгое избирательное и обоснованное распределение документов и информации между работниками;

Рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

Знание работником требований нормативно - методических документов по защите информации и сохранении тайны;

Наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

Определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

Организация порядка уничтожения информации;

Своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

Воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

Не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, - руководителю структурного подразделения. (например, при подготовке материалов для аттестации работника).

5.5.3. Защита персональных данных сотрудника на электронных носителях.

Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий

5.6. "Внешняя защита".

5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

5.6.3. Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

Порядок приема, учета и контроля деятельности посетителей;

Пропускной режим организации;

Учет и порядок выдачи удостоверений;

Технические средства охраны, сигнализации;

Порядок охраны территории, зданий, помещений, транспортных средств;

Требования к защите информации при интервьюировании и собеседованиях.

5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

5.8. По возможности персональные данные обезличиваются.

5.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

6. Права и обязанности работника

6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

6.2. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

Требовать исключения или исправления неверных или неполных персональных данных.

На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

Персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;

Определять своих представителей для защиты своих персональных данных;

На сохранение и защиту своей личной и семейной тайны.

6.4. Работник обязан:

Передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.

Своевременно сообщать работодателю об изменении своих персональных данных

6.5. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

6.6. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

7.5.3. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.

7.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Составил:

менеджер по персоналу Е.Н.Побегайло

СОГЛАСОВАНО

Юрисконсульт

С.Г.Дмитраш

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ № 197-ФЗ от 30.12.2001 г., Федеральным законом РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г., Федеральным законом РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г., Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. и другими нормативными правовыми актами.

1.2. Настоящее Положение определяет порядок обработки персональных данных работников «ВАША ОРГАНИЗАЦИЯ» (далее Организация) и гарантии конфиденциальности сведений, предоставляемых работником работодателю.

1.3. Персональные данные работника являются конфиденциальной информацией.

2. Понятие и состав персональных данных работника

2.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

К персональным данным работника относятся:

Фамилия, имя, отчество, год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности работника;

данные о семейном, социальном и имущественном положении;

данные об образовании работника, наличии специальных знаний или подготовки;

данные о профессии, специальности работника;

сведения о доходах работника;

данные медицинского характера, в случаях, предусмотренных законодательством;

данные о членах семьи работника;

данные о месте жительства, почтовый адрес, телефон работника, а также членов его семьи;

иные персональные данные, при определении объема и содержания которых работодатель руководствуется настоящим Положением и законодательством РФ.

3. Обработка персональных данных работника

3.1. Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Обработка персональных данных работника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством РФ и актами работодателя.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.3. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 ФЗ РФ «О персональных данных», обработка персональных данных осуществляется работодателем без письменного согласия работника, за исключением случаев, предусмотренных федеральным законом.

Получение

3.4. Все персональные данные о работнике работодатель может получить у него самого.

3.5. Работник обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Работодатель имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.6. В случаях, когда работодатель может получить необходимые персональные данные работника только у третьего лица, работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме (Приложение 1).

Работодатель обязан сообщить работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работника дать письменное согласие на их получение.

Хранение персональных данных работника

3.7. Персональные данные работника хранятся в отделе кадров в личном деле работника. Личные дела хранятся в бумажном виде в папках и находятся в сейфе или в несгораемом шкафу.

Персональные данные работника в отделе кадров хранятся также в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечиваются системой паролей. Пароли устанавливаются начальником отдела кадров и сообщаются индивидуально сотрудникам отдела кадров, имеющим доступ к персональным данным работников.

Примечание: Хранение персональных данных работников в бухгалтерии и иных структурных подразделениях работодателя, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.

3.8. Сотрудник работодателя, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:

обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц.

В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные работников (соблюдение «политики чистых столов»).

при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое локальным актом Организации (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

Примечание: В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.

При увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.

Использование (доступ, передача, комбинирование и т.д.) персональных данных работника

3.9. Доступ к персональным данным работника имеют сотрудники работодателя, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей (Приложение 2).

В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя Организации, доступ к персональным данным работника может быть предоставлен иному работнику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным работника Организации, и которым они необходимы в связи с исполнением трудовых обязанностей.

3.10. В случае если работодателю оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным работников Организации, то соответствующие данные предоставляются работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации.

В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника.

3.11. Процедура оформления доступа к персональным данным работника включает в себя:

ознакомление работника под роспись с настоящим Положением.

Примечание: При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление работника под роспись.

истребование с сотрудника (за исключением руководителя Организации) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки, подготовленного по установленной форме (Приложение 3).

3.12. Сотрудники работодателя, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных трудовых функций.

3.13. Доступ к персональным данным работников без специального разрешения имеют работники, занимающие в организации следующие должности:

руководитель Организации;

заместитель руководителя Организации;

главный бухгалтер;

работники отдела кадров;

инженеры-программисты отдела информационных технологий;

начальники структурных подразделений – в отношении персональных данных работников, числящихся в соответствующих структурных подразделениях.

3.14. Допуск к персональным данным работника других сотрудников работодателя, не имеющих надлежащим образом оформленного доступа, запрещается.

3.15. Работник имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законом), содержащей его персональные данные. Работник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.

3.16. Отдел кадров вправе передавать персональные данные работника в бухгалтерию и иные структурные подразделения, в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей.

При передаче персональных данных работника, сотрудники отдела кадров предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство в соответствии с п. 3.11. настоящего Положения.

3.17. Передача (обмен и т.д.) персональных данных между подразделениями работодателя осуществляется только между сотрудниками, имеющими доступ к персональным данным работников.

Доступ к персональным данным работника третьих лиц (физических и юридических)

3.18. Передача персональных данных работника третьим лицам осуществляется только с письменного согласия работника, которое оформляется по установленной форме (Приложение 4) и должно включать в себя:

фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование и адрес работодателя, получающего согласие работника;

цель передачи персональных данных;

перечень персональных данных, на передачу которых дает согласие работник;

срок, в течение которого действует согласие, а также порядок его отзыва.

Примечание: Согласия работника на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника; когда третьи лица оказывают услуги работодателю на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

3.19. Не допускается передача персональных данных работника в коммерческих целях без его письменного согласия, оформленного по установленной форме (Приложение 5).

3.20. Сотрудники работодателя, передающие персональные данные работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работников. Акт составляется по установленной форме (Приложение 6), и должен содержать следующие условия:

уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;

предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.

Передача документов (иных материальных носителей), содержащих персональные данные работников, осуществляется при наличии у лица, уполномоченного на их получение:

договора на оказание услуг Организации;

соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника;

письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.

Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника Организации несет работник, а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.

3.21. Представителю работника (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:

нотариально удостоверенной доверенности представителя работника;

письменного заявления работника, написанного в присутствии сотрудника отдела кадров работодателя (если заявление написано работником не в присутствии сотрудника отдела кадров, то оно должно быть нотариально заверено).

Доверенности и заявления хранятся в отделе кадров в личном деле работника.

3.22. Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.23. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.

3.24. Документы, содержащие персональные данные работника, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

4. Организация защиты персональных данных работника

4.1. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем.

4.2. Общую организацию защиты персональных данных работников осуществляет начальник отдела кадров.

4.3. Начальник отдела кадров обеспечивает:

ознакомление сотрудника под роспись с настоящим Положением.

При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление сотрудника под роспись.

истребование с сотрудников (за исключением лиц, указанных в пункте 3.13 настоящего Положения) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки.

общий контроль за соблюдением сотрудниками работодателя мер по защите персональных данных работника.

4.4. Организацию и контроль за защитой персональных данных работников структурных подразделениях работодателя, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

4.5. Защите подлежит:

информация о персональных данных работника;

документы, содержащие персональные данные работника;

персональные данные, содержащиеся на электронных носителях.

4.6. Защита сведений, хранящихся в электронных базах данных работодателя, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.

5. Заключительные положения

5.1. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных работника, определяются также должностными инструкциями.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

5.3. Разглашение персональных данных работника Организации (передача их посторонним лицам, в том числе, работникам Организации, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные работника, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Организации, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.

Сотрудник работодателя, имеющий доступ к персональным данным работника и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба работодателю (п.7 ст. 243 Трудового кодекса РФ).

5.4. Сотрудники работодателя, имеющие доступ к персональным данным работника, виновные в незаконном разглашении или использовании персональных данных работников работодателя без согласия работников из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.

Приложение 1 - Письменное согласие работника на получение его персональных данных у третьей стороны

Приложение 2 - Перечень должностей сотрудников, имеющих доступ к персональным данным работника Организации и которым они необходимы

Дежурный бюро пропусков

Приложение 3 - Обязательство о соблюдении режима конфиденциальности персональных данных работника

Приложение 4 - Письменное согласие работника на передачу его персональных данных третьей стороне

Приложение 5 - Письменное согласие работника на передачу его персональных данных в коммерческих целях

Приложение 6 - Акт приема-передачи документов (иных материальных носителей), содержащих персональные данные работника