Положение
о защите персональных данных работников
казенного учреждения
Ханты-Мансийского автономного округа – Югры
«Центр социальных выплат»
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, трудовым законодательством Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее Федеральный закон от 27.07.2006 №152-ФЗ) и другими нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обработкой персональных данных граждан с использованием средств автоматизации или без использования таких средств.
1.2. Положение является локальным нормативным актом казенного учреждения Ханты-Мансийского автономного округа – Югры «Центр социальных выплат» (далее — Учреждение), обязательным для выполнения всеми работниками, состоящими с Учреждением в трудовых отношениях.
1.3. Положение определяет порядок получения, обработки, хранения, передачи и любого другого использования сведений, содержащих персональные данные работников Учреждения.
1.4. Цель Положения — обеспечение защиты прав и свобод работников при обработке их персональных данных.
1.5. Все работники должны быть ознакомлены с Положением.
1.6. Персональные данные всегда являются конфиденциальной информацией.
1.7. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока хранения.
1.8. Персональные данные работника обрабатываются с его согласия.
1.9. Обработка персональных данных в Учреждении выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Учреждении.
1.10. Персональные данные субъектов персональных данных обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия в выполнении осуществляемой работы, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения работниками Учреждения должностных обязанностей, обеспечения личной безопасности работников Учреждения и членов их семей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества.
1.11. Обработка персональных данных в Учреждении осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных.
1.12. Для целей настоящего Положения используются следующие основные понятия:
— оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— субъекты персональных данных (работники) – физические лица, состоящие, а также готовящиеся в ступить в трудовые или иные гражданско-правовые отношения с Учреждением – оператором;
— учреждение-оператор — казенное учреждение Ханты-Мансийского автономного округа – Югры «Центр социальных выплат»;
— работодатель – юридическое лицо (Учреждение), вступившее в трудовые отношения с работником;
— персональные данные работника — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст.11 Федерального закона от 27.07.2006 № 152-ФЗ);
— обработка персональных данных работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— распространение персональных данных — действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— предоставление персональных данных — действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— блокирование персональных данных — временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п. 10 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
— конфиденциальность персональных данных — обязательное для соблюдения Учреждением или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия работника или наличия иного законного основания (ст.7 Федерального закона от 27.07.2006 № 152-ФЗ);
— общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст.8 Федерального закона от 27.07.2006 № 152-ФЗ).
2. Состав персональных данных работников
2.1. Под персональными данными работников понимается информация, необходимая Работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
Учреждение определяет объем, содержание обрабатываемых персональных данных работника, руководствуясь Конституцией Российской Федерации, ТК РФ и иными нормативными актами.
Перечень персональных данных работника, обрабатываемых Учреждением:
2.2. Документы, содержащие персональные данные работников:
2.3. Персональные данные работника являются конфиденциальной информацией и не могут быть использованы работодателем или любым иным лицом в личных целях или в целях, не связанных с исполнением работодателем и работником своих прав и обязанностей, как сторон действовавшего или действующего трудового договора.
2.4. Документы, содержащие персональные данные работников, создаются путем: копирования оригиналов; внесения сведений в учетные формы (на бумажных и электронных носителях); получения оригиналов необходимых документов.
3. Общие принципы и требования к обработке персональных данных работников
3.1. Обработка персональных данных осуществляется на основе принципов:
3.2. В целях обеспечения прав и свобод человека и гражданина, Работодатель и его представители при обработке персональных данных работников обязаны соблюдать следующие общие требования:
4. Получение и хранение персональных данных работника
4.1.Персональные данные работника Работодатель получает непосредственно от Работника.
4.2. Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.3. Работник представляет Работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
4.4. При поступлении на работу работник заполняет анкету и автобиографию.
4.4.1. Анкета представляет собой перечень вопросов о персональных данных работника.
4.4.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
4.4.3. Автобиография — документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.
4.4.4. Автобиография составляется в произвольной форме, без помарок и исправлений.
4.4.5. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
4.4.6. Личное дело работника оформляется после издания приказа о приеме на работу.
4.4.7. Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилия, имя, отчество работника, номер личного дела.
4.4.8. К каждому личному делу прилагаются две цветные фотографии работника.
4.4.9. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
4.4.10. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
4.5. При изменении персональных данных работник письменно уведомляет Работодателя о таких изменениях в срок, не превышающий 14 календарных дней.
4.6. По мере необходимости Работодатель истребует у работника дополнительные сведения. Работник предоставляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
4.7. Ведение личных дел возложено на специалиста по кадрам, ответственный за ведение личных дел – начальник организационно-правового отдела.
4.8. В обособленных подразделениях Учреждения (филиалы) ведение личных дел возложено на специалиста по кадрам (при наличии), юрисконсульта, ответственный за ведение личных дел – начальник филиала.
4.9. Персональные данные работников Учреждения хранятся на бумажных и электронных носителях.
4.10. Хранение персональных данных происходит в порядке, исключающим их утрату или неправомерное использование.
4.11. Персональные данные работника на бумажном носителе хранятся, как и другие конфиденциальные документы, в специально оборудованных и опечатываемых сейфах или металлических шкафах, отдельно от общих документов, обеспечивающих защиту от несанкционированного доступа.
4.12. Металлические шкафы (сейфы) должны быть постоянно закрыты и открываться только для выдачи, сбора м контроля сохранности документов.
4.13. Хранение и обработка персональных данных в электронном виде производится на автоматизированном рабочем месте, расположенном в отдельном сегменте сети (без доступа в интернет и в основной сегмент Учреждения) и аттестованном по правилам защиты информации согласно нормативным и руководящим документам Учреждения, Ростехнадзора, Федеральными законами, нормами и правилами.
4.13.Для организации хранения персональных данных в Учреждении специалисты по информационной работе и другие специалисты проводят мероприятия по определению круга информационных систем и совокупности обрабатываемых персональных данных, категорированию персональных данных и предварительной классификации информационных систем.
4.14. Доступ к электронным базам, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной сети и на уровне баз данных. Ответственный специалист по защите информации устанавливает пароли индивидуально работникам, имеющим доступ к персональным данным работников. Ответственный специалист по защите информации меняет пароли не реже одного раза в два месяца.
4.15. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных вводится метод идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.
4.16. Доступ к персональным данным работников разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
4.17. Внутренний доступ к персональным данным работников в Учреждении осуществляется в соответствии со списком лиц, уполномоченных на получение и доступ к персональным данным, утвержденным приказом руководителя Учреждения. Иные права и обязанности работников Учреждения, в трудовые обязанности которых входит обработка персональных данных работников, определяются также должностными инструкциями.
4.18. Право внутреннего доступа к персональным данным работников Учреждения имеют:
4.19. В целях обеспечения надлежащего выполнения трудовых обязанностей доступ к персональным данным работника может быть предоставлен на основании приказа руководителя Учреждения иному работнику, должность которого не включена в список лиц, уполномоченных на получение и доступ к персональным данным.
4.20. Доступ к персональным данным работников без специального разрешения может быть предоставлен работникам, занимающим в Учреждении должности заместителя руководителя, главного бухгалтера; работники отдела кадров.
4.21. Работники, осуществляющие обработку персональных данных, должны быть уведомлены в письменной форме о своей обязанности не разглашать персональные данные работников, к которым они получили доступ.
5. Обработка персональных данных работника
5.1. Обработка персональных данных работников работодателем возможна только с их письменного согласия. Исключения составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ).
5.2. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральными законами от 27.07.2006 № 152-ФЗ, от 06.04.2011 № 63-ФЗ электронной подписью.
5.3. Письменное согласие работника на обработку своих персональных может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и должно включать в себя, в частности, сведения, указанные в п. п. 1 — 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Содержание согласия работника должно быть конкретным и информированным, т.е. содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.
5.4. Согласие на обработку персональных данных не требуется и в тех случаях:
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
5.5. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.
Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 Трудового кодекса Российской Федерации работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.
5.6. Обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.
Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет.
Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.
5.7. В соответствии с ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ:
-обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ, в том числе, получить согласие работников на передачу их персональных данных.
6. Передача персональных данных работника
7. Права работника
7.1. Работник Учреждения имеет право:
8. Ответственность за нарушение норм, регулирующих обработку персональных данных
8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 №152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.