Положение о персональных данных работников

ПОЛОЖЕНИЕ

УТВЕРЖДАЮ
Директор
Красноперекопского филиала
Государственного бюджетного
учреждения Республики Крым
«Крымское управление водного
хозяйства и мелиорации»
_____________ Новачек Р.В.
14 июля 2015 г.

ПОЛОЖЕНИЕ
о порядке обработки персональных данных работников
в Красноперекопском филиале ГБУ РК «Крыммелиоводхоз»
и гарантиях их защиты

1. Общие положения
1.1. Положение о порядке обработки персональных данных работников в Красноперекопском филиале ГБУ РК «Крыммелиоводхоз» и гарантиях их защиты (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 (далее — ФЗ «О персональных данных»), Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и другими определяющими случаи и особенности обработки персональных данных нормативно-правовыми актами.
1.2. Положение определяет порядок и условия обработки персональных данных в Красноперекопском филиале ГБУ РК «Крыммелиоводхоз» с использованием средств автоматизации и без использования таких средств.
1.3. Цель настоящего Положения — упорядочение обращения с персональными данными и обеспечение соблюдения законных прав и интересов работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.

2. Понятие и состав персональных данных
2.1. Персональные данные работника — любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
2.2. Состав персональных данных работника:
— анкетные и биографические данные;
— образование;
— сведения о трудовом и общем стаже;
— сведения о предыдущем месте работы;
— состав семьи;
— паспортные данные;
— сведения о воинском учете;
— сведения о заработной плате сотрудника;
— сведения о социальных льготах;
— специальность, занимаемая должность работника;
— наличие судимостей;
— адрес проживания (регистрации) работника;
— домашний телефон;
— данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);
— характер взаимоотношений в семье;
— содержание трудового договора;
— содержание декларации, подаваемой в налоговую инспекцию;
— прочие сведения, которые могут идентифицировать человека.
2.3. Документы, содержащие персональные данные:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховое свидетельство государственного пенсионного страхования;
г) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
д) документы воинского учёта;
е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
ж) собственноручно заполненная и подписанная анкета с приложением фотографии;
з) автобиография;
и) личный листок по учёту кадров;
к) медицинское заключение о состоянии здоровья;
л) документы, содержащие сведения о заработной плате, доплатах и надбавках;
м) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;
н) справка об отсутствии (наличии) судимости;
о) другие документы, содержащие сведения, предназначенные для использования в служебных целях.

3. Доступ к персональным данным работников
3.1. Право доступа к персональным данным работников имеют:
— Директор Красноперекопского филиала ГБУ РК «Крыммелиоводхоз»;
— сотрудники кадровой службы (отдела);
— сотрудники бухгалтерии;
— сотрудники юридической службы (отдела);
— начальники структурных подразделений по направлению деятельности (доступ к персональным данным только сотрудников своего подразделения).
При этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
Работники, имеющие доступ к персональным данным, подписывают Соглашение о неразглашении персональных данных работника по форме Приложения № 1 к настоящему Положению.
3.2. Внешний доступ.
3.2.1. К числу массовых потребителей персональных данных можно отнести государственные и негосударственные функциональные структуры:
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые агентства;
— военкоматы;
— органы социального страхования;
— пенсионные фонды.
3.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
3.2.3. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
3.2.4. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
3.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.

4. Права и обязанности работника Красноперекопского филиала ГБУ РК «Крыммелиоводхоз»
4.1. Работник Красноперекопского филиала ГБУ РК «Крыммелиоводхоз» имеет право:
4.1.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
4.1.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
4.1.3. Получать от работодателя:
— сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
— перечень обрабатываемых персональных данных и источник их получения;
— сроки обработки персональных данных, в том числе сроки их хранения;
— сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных.
4.1.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4.1.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
4.2. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4.3. Работник обязан:
4.3.1. Передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен ТК РФ.
4.3.2. Своевременно сообщать работодателю об изменении своих персональных данных.

5. Обработка персональных данных работника и их защита
5.1. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных работника Красноперекопского филиала ГБУ РК «Крыммелиоводхоз» осуществляется с их письменного согласия по форме Приложения № 2 к настоящему Положению, которое действует со дня их поступления на работу.
5.3. В целях обеспечения прав и свобод человека и гражданина работодатель и лица, имеющие доступ к персональным данным работников, при их обработке обязаны соблюдать следующие требования:
— обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
— при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться законодательством Российской Федерации и Республики Крым;
— все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
— обеспечение конфиденциальности персональных данных работников, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;
— хранение персональных данных должно осуществляться в форме, позволяющей определить работника, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации и Республики Крым. Факт уничтожения персональных данных оформляется соответствующим актом;
— опубликование и распространение персональных данных работников допускается в случаях, установленных законодательством Российской Федерации и Республики Крым;
— при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
— не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо, в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
— не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
5.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч.2 ст.10 ФЗ «О персональных данных».
5.5. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
5.6. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
5.7. Работодатель при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.8. Защита персональных данных работника от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативно-правовыми актами Российской Федерации и Республики Крым.

6. Порядок обработки персональных данных работников, осуществляемой без использования средств автоматизации
6.1. При обработке персональных данных без использования средств автоматизации не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
6.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Красноперекопский филиал ГБУ РК «Крыммелиоводхоз» полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
— типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес Красноперекопского филиала ГБУ РК «Крыммелиоводхоз», фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
— типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
— типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;
— типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
6.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

7. Порядок обработки персональных данных работников в информационных системах
7.1. Обработка персональных данных в Красноперекопском филиале ГБУ РК «Крыммелиоводхоз» осуществляется в Информационной системе «1С: Предприятие 8.3», включающей:
— фамилию, имя, отчество субъекта персональных данных;
— дату рождения субъекта персональных данных;
— серию и номер основного документа, удостоверяющего личность субъекта персональных данных;
— сведения о дате выдачи указанного документа и выдавшем его органе;
— адрес места жительства субъекта персональных данных;
— почтовый адрес субъекта персональных данных;
— ИНН субъекта персональных данных (при наличии);
— табельный номер субъекта персональных данных;
— должность субъекта персональных данных;
— номер приказа и дату приема на работу (увольнения) субъекта персональных данных;
— номер страхового свидетельства государственного пенсионного страхования субъекта персональных данных;
— гражданство субъекта персональных данных.
7.2. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
7.3. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
7.4. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.
7.5. Доступ пользователей (операторов информационной системы) к персональным данным в информационной системе персональных данных Красноперекопского филиала ГБУ РК «Крыммелиоводхоз» должен требовать обязательного прохождения процедуры идентификации и аутентификации.
7.6. Лицами, ответственными за обеспечение безопасности персональных данных при их обработке в информационной системе, должно быть обеспечено:
— своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до директора Красноперекопского филиала ГБУ РК «Крыммелиоводхоз»;
— недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
— возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— постоянный контроль за обеспечением уровня защищенности персональных данных;
— знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
— учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
— при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
— разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
7.7. В случае выявления нарушений порядка обработки персональных данных в информационной системе Красноперекопского филиала ГБУ РК «Крыммелиоводхоз» лицами, ответственными за обеспечение безопасности персональных данных при их обработке, принимаются меры по установлению причин нарушений и их устранению.

8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
8.1. Работники Красноперекопского филиала ГБУ РК «Крыммелиоводхоз», виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами и законами Республики Крым.
8.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

9. Заключительные положения
9.1. Настоящее Положение вступает в силу с момента его утверждения директором и вводится в действие приказом директора Красноперекопского филиала ГБУ РК «Крыммелиоводхоз».
9.2. Все работники должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
9.3. Работодатель обеспечивает неограниченный доступ к настоящему документу.
9.4. Директор Красноперекопского филиала ГБУ РК «Крыммелиоводхоз» вправе вносить изменения и дополнения в Положение. Работники Красноперекопского филиала ГБУ РК «Крыммелиоводхоз» должны быть поставлены в известность о вносимых изменениях и дополнениях за 5 дней до вступления их в силу посредством издания директором приказа и ознакомления с ним всех работников Красноперекопского филиала ГБУ РК «Крыммелиоводхоз».

Приложение № 1 к Положению о порядке обработки персональных данных работников в Красноперекопском филиале ГБУ РК «Крыммелиоводхоз» и гарантиях их защиты

Соглашение
о неразглашении персональных данных работника
Я, ____________________________________________________________,
(ФИО работника, паспортные данные)
понимаю, что получаю доступ к персональным данным работников Красноперекопского филиала ГБУ РК «Крыммелиоводхоз». Я также понимаю, что во время исполнения своих обязанностей мне приходится заниматься сбором, обработкой и хранением персональных данных сотрудников.
Я понимаю, что разглашение такого рода информации может нанести ущерб работникам учреждения, как прямой, так и косвенный.
В связи с этим даю обязательство при работе (сборе, обработке и хранении) с персональными данными работника соблюдать все описанные в Положении о порядке обработки персональных данных работников в Красноперекопском филиале ГБУ РК «Крыммелиоводхоз» и гарантиях их защиты требования.
Я подтверждаю, что не имею права разглашать сведения о (об):
— анкетных и биографических данных;
— образовании;
— трудовом и общем стаже;
— составе семьи;
— паспортных данных;
— воинском учете;
— заработной плате сотрудника;
— социальных льготах;
— специальности;
— занимаемой должности;
— наличии судимостей;
— адресе места жительства, домашнем телефоне;
— месте работы или учебы членов семьи и родственников;
— характере взаимоотношений в семье;
— содержании трудового договора;
— содержании декларации, подаваемой в налоговую инспекцию;
— подлинниках и копиях приказов по личному составу;
— личных делах и трудовых книжках сотрудников;
— делах, содержащих материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.
Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных работника, или их утраты я несу ответственность в соответствии с ст. 90 ТК РФ.
С Положением о порядке обработки персональных данных работников Красноперекопского филиала ГБУ РК «Крыммелиоводхоз» и гарантиях их защиты ознакомлен(а).
_____________________________ ____________________________
(должность работника)            (ФИО работника)