обучение врачей
- О нас
УТВЕРЖДАЮ
Генеральный директор ООО «#COMPANY_NAME#»
_____________________ #DIRECTOR_NAME#
«__» ______ ____ года
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «#COMPANY_NAME#»
ЛОКАЛЬНЫЙ НОРМАТИВНЫЙ АКТ ООО «#COMPANY_NAME#»,
принят в соответствии со статьей 8 Трудового кодекса РФ и во исполнение требований
статьи 18.1. Федерального закона от 27.07.2006 №
город ______ _____ год
ОГЛАВЛЕНИЕ:
Статья I. ОБЩИЕ ПОЛОЖЕНИЯ
Статья II. ОСНОВНЫЕ ПОНЯТИЯ
Статья III. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья IV. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья V. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Условия получения персональных данных
2. Порядок сбора персональных данных
3. Порядок обработки персональных данных
4. Порядок хранения персональных данных
5. Обработка персональных уволенных работников
6. Обработка персональных данных соискателей на должность
Статья VI. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья VII. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКА
Статья VIII. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА
Статья IX. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
Статья X. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
Статья XI. СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ И НОРМАТИВНЫХ АКТОВ
СПИСОК ПРИЛОЖЕНИЙ К ПОЛОЖЕНИЮ
Статья I. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящее Положение об обработке и защите персональных данных работников Общества с ограниченной ответственностью «#COMPANY_NAME#» (далее — Положение) устанавливает порядок обработки персональных данных работников Общества с ограниченной ответственностью «#COMPANY_NAME#» (далее — Общество или Работодатель).
Цель разработки Положения — определение порядка обработки персональных данных работников Общества; обеспечение защиты прав и свобод работников Общества при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников Общества, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Работниками являются физические лица (субъекты персональных данных), заключившие с Обществом трудовые договора.
2. Обработка персональных данных работников в Обществе заключается в сборе, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа к персональным данным.
3. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Общества и действует бессрочно, до замены его новым Положением.
Настоящее Положение подлежит корректировке при изменении законодательных и нормативно-правовых актов, по рекомендациям надзорных органов, по результатам проверок в рамках государственного контроля, а также в целях совершенствования технологий обработки ПДн Работников.
Изменения к Положению утверждаются Генеральным директором Общества.
4. Все работники Общества должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
Настоящее Положение является обязательным для исполнения всеми работниками Общества, имеющими доступ к персональным данным.
5. Ответственность за актуализацию настоящего Положения и текущий контроль над выполнением норм Положения возлагается на начальника отдела кадров Общества.
6. Положение разработано с учетом требований принятой в Обществе Политики по защите персональных данных в ООО «#COMPANY_NAME#». Общество учитывает требования настоящего Положения при разработке и утверждении внутренних локальных актов и иных документов Общества, связанных с обработкой ПДн.
Статья II. ОСНОВНЫЕ ПОНЯТИЯ
Положение — утвержденный Генеральным директором Общества внутренний локальный нормативный акт «Положение об обработке и защите персональных данных работников Общества с ограниченной ответственностью „#COMPANY_NAME#“».
Работник — физическое лицо (субъект персональных данных), заключившее с Обществом трудовой договор.
Соискатель (кандидат) на должность — физическое лицо (субъект персональных данных), представившее в Общество свои персональные данные с предложением заключения трудового договора.
Персональные данные работника (ПДн работника) — любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, необходимая работодателю в связи с трудовыми отношениями.
Обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Общества.
Конфиденциальность персональных данных — обязательное для соблюдения работниками, получившими доступ к персональным данным, требование не допускать распространение ПДн без согласия работника или иного законного основания.
Распространение персональных данных — действия, направленные на передачу персональных данных работника определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работника в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работника каким-либо иным способом.
Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работника либо иным образом затрагивающих его права и свободы или права и свободы других лиц.
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников.
Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Информация — любые сведения (сообщения, данные) независимо от формы их представления.
Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Уполномоченный сотрудник — работник, назначенный приказом Генерального директора Общества ответственным за обеспечение информационной безопасности и защиту персональных данных.
Статья III. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные работника, обработка которых осуществляется в Обществе, включают следующие документы и сведения:
Фамилия, имя, отчество
Фамилия при рождении (либо другие фамилии, если они были)
День, месяц, год и место рождения
Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ)
Гражданство
Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания
Номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства
Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения)
Копии документов об образовании
Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения
Копии документов о повышении квалификации
Сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона Работодателя, а также реквизитов других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения
Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты)
Вторые экземпляры Трудового договора с работниками
Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней
Трудовые книжки и вкладыши к ним
Карточки унифицированной формы Т-2 «Личная карточка работника»
Личные дела работников в бумажной форме
Сведения о заработной плате (номера счетов для расчета с работниками, в том числе номера их банковских карточек)
Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на© учет(а) и другие сведения
Копии военных билетов
Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), паспортные данные супруга(и), данные справки по форме 2НДФЛ супруга(и)
Сведения о номере и серии страхового свидетельства государственного пенсионного страхования
Свидетельство или сведения о присвоении идентификационного номера налогоплательщика (ИНН) — при его наличии у работника
Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования)
Сведения, указанные в оригиналах и копиях приказов по персоналу Общества и материалах к ним, в том числе информация об отпусках, о командировках и т.п.
Оригиналы приказов, изданных в Обществе, и относящиеся к субъекту персональных данных, и материалы к данным приказам
Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) работников Общества
Материалы по аттестации, анкетированию, тестированию и оценке работников Общества
Материалы по внутренним служебным расследованиям в отношении работников Общества
Сведения о временной нетрудоспособности работников Общества
Табельный номер работника Общества
Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения)
Материалы по проведению собеседований с соискателем на должность
Иные сведения, с которыми работник считает нужным ознакомить Работодателя.
Статья IV. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
Все документы и сведения, содержащие информацию о персональных данных работников Общества, являются конфиденциальными. Общество обеспечивает конфиденциальность персональных данных, и обязано не допускать их распространения без согласия работника, либо наличия иного законного основания.
За установление и надлежащее поддержание режима конфиденциальности персональных данных в Обществе отвечает Генеральный директор.
Все меры конфиденциальности при обработке персональных данных работников распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
Режим конфиденциальности персональных данных работников снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Общества, если иное не определено законом.
Статья V. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Условия получения персональных данных
Все персональные данные работника Общества следует получать у него самого. Если персональные данные работника могут быть получены только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Должностное лицо Работодателя должно сообщить работнику Общества о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Письменное согласие работника на обработку своих персональных данных должно включать в себя:
— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— наименование и адрес Общества, получающего согласие субъекта персональных данных;
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
— срок, в течение которого действует согласие, а также порядок его отзыва.
Типовая форма заявления о согласии работника на обработку персональных данных приведена в Приложении № 1 к настоящему Положению.
Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора, и при этом должно отвечать требованиям, предъявляемым к содержанию согласия, согласно ч.4 ст. 9 Федерального закона от 27.07.2006 года №
Работодатель не имеет права получать и обрабатывать персональные данные работника Общества о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.
Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
Обработка специальной категории персональных данных работника о состоянии его здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства может осуществляться Работодателем без согласия работника.
Обработка персональных данных работников работодателем возможна без их согласия в следующих случаях:
— персональные данные являются общедоступными;
—обработка ПДн работника необходима для защиты жизни, здоровья или иных жизненно важных интересов работника и/или других лиц и получение согласия работника невозможно;
— по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом;
— обработка персональных данных осуществляется на основании Трудового кодекса РФ, Налогового кодекса РФ, Федерального закона от 29.11.2010 №
— обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
— обработка персональных работника осуществляется в случаях, предусмотренных трудовым договором, правилами внутреннего трудового распорядка, а также локальными актами Работодателя, принятыми в порядке, установленном статьями 5,8,12 Трудового кодекса РФ;
— обработка персональных данных близких родственников работника осуществляется в объеме, предусмотренном унифицированной формой № Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление социальных выплат) (в иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных);
— если обработка персональных данных работника ведется при осуществлении пропускного режима на территорию зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному локальными актами работодателя, принятыми в соответствии с нормами статей 5, 8, 12 Трудового кодекса РФ.
В соответствие с требованиями ГОСТ Р ИСО/МЭК 19794-5—2006 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система видеонаблюдения, используемая в Обществе, не обрабатывает биометрические ПДн, на основании которых возможно идентифицировать личность работника.
2. Порядок сбора персональных данных
2.1. Работник Общества предоставляет сотруднику отдела кадров достоверные сведения о себе. Информация, представляемая работником при поступлении на работу в Общество, должна иметь документальную форму. Сотрудник отдела кадров Общества проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
При заключении трудового договора в соответствии со ст.65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет Работодателю:
— паспорт или иной документ, удостоверяющий личность;
— трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
— страховое свидетельство государственного пенсионного страхования;
— документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
— документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
— свидетельство о присвоении ИНН (при его наличии у работника).
2.2. Документы, содержащие персональные данные работника, создаются путём:
а) Создания комплекса документов, сопровождающий процесс оформления трудовых отношений работника в Обществе при его приеме, переводе и увольнении методом внесения сведений в учётные формы (на бумажных и электронных носителях);
б) копирования оригиналов документов (документ об образовании, свидетельство ИНН, пенсионное свидетельство);
в) получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, автобиография).
3. При поступлении на работу в Общество:
Сотрудником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
— общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
— сведения о воинском учете;
— данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
— сведения о переводах на другую работу;
— сведения об аттестации;
— сведения о повышении квалификации;
— сведения о профессиональной переподготовке;
— сведения о наградах (поощрениях), почетных званиях;
— сведения об отпусках;
— сведения о социальных гарантиях;
— сведения о месте жительства и контактных телефонах.
Работник заполняет анкету:
— Анкета представляет собой перечень вопросов о персональных данных работника.
— Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержаться в его личных документах.
— Анкета работника хранится в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
Личное дело работника оформляется после издания приказа о приеме на работу:
— Все документы личного дела подшиваются в обложку образца, установленного в Обществе. На ней указываются фамилия, имя отчество работника, номер личного дела. К каждому личному делу прилагается фотография работника размером 3×4.
— Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитые в личное дело, нумеруются.
— Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
3. Порядок обработки персональных данных
В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина Генеральный директор Общества и назначенные им работники Общества при обработке персональных данных работника должны соблюдать следующие общие требования:
— Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
— При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
— При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
— Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.
— Работники и их представители должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
4. Порядок хранения персональных данных
4.1. Персональные данные работников могут храниться, как на бумажных носителях, так и в электронном виде в информационных системах персональных данных Общества, в электронных папках и файлах в персональных компьютерах (ПК) сотрудников Общества: начальника отдела кадров, сотрудников отдела кадров, главного бухгалтера и сотрудников бухгалтерии.
Доступ к ПК строго ограничен кругом лиц, определённых приказом Генерального директора Общества, каждый компьютер защищен паролем, и оснащен сертифицированной антивирусной защитой.
4.2. В отделе кадров Общества хранятся в специально отведенном железном шкафу следующие группы документов, содержащие ПДн работников в единичном или сводном виде:
— Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с соискателем на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
— Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Общества); документы по планированию, учету, анализу и отчетности в части работы с персоналом Общества.
В том числе в специально отведенном железном шкафу хранятся:
— трудовые книжки, документы воинского учёта, карточки работников по форме Т-2;
— личные дела в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела находятся в отделе кадров.
Ключи от железного шкафа хранятся лично у начальника отдела кадров и Генерального директора Общества.
4.3. Хранение персональных данных в бухгалтерии:
— Персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем месте главного бухгалтера.
— Персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК главного бухгалтера, ведущего и старшего бухгалтеров.
— Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.
4.4. Персональные данные работников Общества, содержащиеся на электронных носителях, уничтожаются в течение тридцати дней со дня окончания претензионного срока по индивидуальным трудовым спорам, установленного ст.392 Трудового кодекса РФ, по причине достижения Обществом цели обработки персональных данных этого работника и на основании п.4.ст.21. Федерального закона от 27 июля 2006 года №
5. Обработка персональных уволенных работников
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством.
С учетом положений п.2 ч.1 ст.6 Федерального закона от 27 июля 2006 года №
— при исполнении нормы подп.5 п.3 ст.24 Налогового кодекса Российской Федерации, где установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога;
— при выполнении требований статьи 17 Федерального закона от 21 ноября 1996 года №
6. Обработка персональных данных соискателей на должность
При обработке персональных данных соискателей на замещение вакантных должностей в Обществе требуется получение согласия соискателя на обработку его персональных данных на период принятия Работодателем решения о приеме либо отказе в приеме на работу.
В случае, если сбор персональных данных соискателей на должность осуществляется посредством типовой формы анкеты соискателя, утвержденной в Обществе, то данная типовая форма анкеты должна соответствовать требованиям п.7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Получение согласия от соискателя также является обязательным условием при направлении Работодателем запросов в иные организации, в том числе, по прежним местам работы соискателя, для уточнения или получения о нем дополнительной информации.
Работодатель имеет право осуществлять обработку ПДн соискателей на должность без их согласия в следующих случаях:
— если от имени соискателя действует кадровое агентство, с которым субъект персональных данных заключил соответствующий договор;
— когда соискатель самостоятельно разместил свое резюме в сети Интернет, и оно стало доступно неограниченному кругу лиц;
— если типовая форма анкеты соискателя на должность реализована Работодателем в электронной форме на сайте Общества, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле.
В случае получения резюме соискателя по каналам электронной почты, факсимильной связи Работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем (на пример, пригласить соискателя на личную встречу с уполномоченными работниками Работодателя, осуществить обратную связь посредством электронной почты и т.д.).
При поступлении в адрес Работодателя резюме, составленного в произвольной форме, при которой не представляется возможным однозначно определить физическое лицо, которое его направило, данное резюме подлежит уничтожению в день поступления.
В случае отказа соискателю в приеме на работу сведения, им предоставленные, должны быть уничтожены в течение 30 дней.
Статья VI. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
— Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, установленных федеральными законами. Письменное согласие работника оформляется по установленной форме, указанной в Приложении № 2 к настоящему Положению.
— Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
— Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
— Передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом РФ и Федеральным законом №
2. Сотрудники Работодателя, передающие персональные данные работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работников. Акт составляется по установленной форме, указанной в Приложение № 4 настоящего Положения, и должен содержать следующие условия:
— уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
— предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.
В случае поступления запросов из организаций Работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет соблюдено.
Передача документов (иных материальных носителей), содержащих персональные данные работников, осуществляется при наличии у лица, уполномоченного на их получение:
— письменного договора с Обществом;
— соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника;
— письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника Общества несет начальник отдела кадров, а также сотрудник, осуществляющий передачу персональных данных работника третьим лицам.
3. Представителю работника персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:
— нотариально удостоверенной доверенности представителя работника;
— письменного заявления работника, написанного в присутствии сотрудника отдела кадров Работодателя, либо нотариально заверенного.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.
Доверенности, разрешения и заявления хранятся в отделе кадров в личном деле работника.
4. Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства.
5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии письменного согласия работника, удостоверенного нотариально.
6. Документы, содержащие персональные данные работника, могут быть отправлены через организацию федеральной почтовой связи заказным отправлением, с уведомлением о вручении. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Данный конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
Уведомления о вручении хранятся в отделе кадров в личном деле работника.
Передача информации, содержащей сведения о персональных данных работников Общества, по телефону, факсимильной связи, электронной почте запрещается.
Общество обеспечивает ведение журнала учета выданных персональных данных работников, в котором фиксируются сведения о лице, которому передавались персональные данные работников, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
7. Согласия работника на передачу его персональных данных третьим лицам не требуется в случаях:
— когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или иных лиц, а поучить согласие работника не представляется возможным;
— когда третьи лица оказывают услуги Работодателю на основании заключенных договоров;
— в случае передачи персональных данных работников в Фонд социального страхования Российской Федерации и Пенсионный фонд Российской Федерации;
— при передаче персональных данных работника в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 № 490, и иными нормативными правовыми актами в сфере транспортной безопасности);
— в случае передачи работодателем персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации;
— если ПДн работника обрабатывается или передается в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации (при этом мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации);
Передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
— договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу Работодателем персональных данных работника;
— наличие у Работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
— соответствующая форма и система оплаты труда прописана в трудовом договоре.
Статья VII. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКА
1. Персональные данные в Обществе могут обрабатываться только уполномоченными в установленном порядке Работниками.
Работники допускаются в Обществе к обработке персональных данных только решением Генерального директора.
Доступ к персональным данным работника имеют сотрудники Работодателя, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.
Работники, допущенные в Обществе к обработке персональных данных, имеют право приступать к работе с персональными данными только после ознакомления под личную роспись с локальными нормативными актами, регламентирующими в Обществе обработку ПДн.
Работники, осуществляющие в Обществе обработку персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Общества, и соблюдать требования Общества по соблюдению режима конфиденциальности.
Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.
2. Право доступа к персональным данным работника в Обществе имеют:
— Генеральный директор Общества
— Директор по общим вопросам
— Начальник отдела кадров
— Работники отдела кадров
— Главный бухгалтер
— Ведущий бухгалтер
— Бухгалтер, осуществляющий расчет заработной платы
— Уполномоченный сотрудник, назначенный приказом Генерального директора Общества ответственным за обработку персональных данных и организацию их защиты
— Системный администратор
— Руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения)
— При переводе из одного структурного подразделения в другое, доступ к персональным данным работника может иметь руководитель нового подразделения
— сам работник, субъект персональных данных
— другие сотрудники Общества с санкции Генерального директора при выполнении ими своих служебных обязанностей
3. Полный перечень сотрудников Общества, имеющих доступ к персональным данным работников, готовится начальником отдела кадров по форме, приведенной в Приложении № 5 к настоящему Положению, утверждается Генеральным директоров Общества, и регулярно обновляется по мере изменения штатного расписания или текучки кадров. Перечень сотрудников Общества, имеющих доступ к персональным данным работников, оформляется в качестве Приложения к настоящему Положению.
4. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным работника может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным работника Общества, и которым они необходимы в связи с исполнением трудовых обязанностей.
5. Все сотрудники, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.
Статья VIII. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА
1. Работник обязан передавать Работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ, настоящим Положением и Правила внутреннего трудового распорядка, принятыми в Обществе.
Работник должен своевременно в срок, не превышающий пяти рабочих дней, сообщать Работодателю об изменении своих персональных данных.
2. В целях обеспечения защиты персональных данных, хранящихся у Работодателя, работник имеет право:
— На полную информацию об своих персональных данных и обработке этих данных; на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.
Сведения о наличии персональных данных должны быть предоставлены работнику в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
— Получать от Работодателя сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
— Определить своих представителей для защиты своих персональных данных.
— Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона.
— Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
— При отказе Работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
— Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
— Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
— Обжаловать в суде любые неправомерные действия или бездействие Работодателя при обработке и защите его персональных данных.
3. Если работник считает, что Работодатель осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, работник вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Работник имеет право на сохранение и защиту своей личной и семейной тайны, на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Во всех случаях отказ работника от своих прав на сохранение и защиту конфиденциальности его персональных данных недействителен и юридически ничтожен.
Статья IX. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
1. Общество обязано при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных работников от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Защите подлежит:
— информация о персональных данных работника, содержащаяся на бумажных носителях;
— документы, содержащие персональные данные работника;
— персональные данные, содержащиеся на электронных носителях.
2. Общую организацию защиты персональных данных работников осуществляет Генеральный директор, начальник отдела кадров, главный бухгалтер и сотрудник, уполномоченный в Обществе осуществлять защиту ПДн.
Генеральный директор отвечает за введение и осуществление в Обществе режима конфиденциальности персональных данных.
Начальник отдела кадров обеспечивает:
— Ознакомление работников под роспись с настоящим Положением, приказами и иными внутренними локальными нормативными актами, регулирующими обработку и защиту персональных данных в Обществе.
— Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки.
— Общий контроль соблюдения работниками мер по защите персональных данных работников.
— Хранение личные дел и документов, содержащих персональные данные работников, в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
— Выдачу личных дел только по письменному разрешению Генерального директора руководителям структурных подразделений (например, при подготовке материалов для аттестации работника).
— Не допущение выдачи личных дел на рабочие места руководителей (личные дела могут выдаваться на рабочие места только Генеральному директору и директору по общим вопросам).
— Контроль возврата в отдел кадров в конце рабочего дня всех выданных работникам документов, содержащий ПДн работников.
— Организацию обучения сотрудников отдела кадров требованиям российского законодательства в области обработки ПДн.
Главный бухгалтер обеспечивает:
— Общий контроль соблюдения работниками бухгалтерии мер по защите персональных данных работников.
— Хранение документов, содержащих персональные данные работников, в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
— Организацию обучения сотрудников бухгалтерии требованиям российского законодательства в области обработки ПДн.
Уполномоченный сотрудник обеспечивает:
— Защиту информационных систем Общества, в которых обрабатываются персональные данные.
— Общий контроль соблюдения работниками мер по защите персональных данных работников, в том числе в случае автоматизированной обработке ПДн.
— Организацию обучения работников требованиям российского законодательства в области обработки ПДн.
3. Все работники, допущенные к обработке персональных данных, на основании письменного обязательства (см. Приложение № 3 к настоящему Положению) несут персональную ответственность за соблюдение конфиденциальности персональных данных работников.
Работники, допущенные к обработке персональных данных, обязаны соблюдать следующие правила:
— Обеспечивать хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц.
— В отсутствие работника на его рабочем месте не должно быть документов, содержащих персональные данные работников.
— При уходе в отпуск, во время служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое приказом или распоряжением Генерального директора будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию начальника отдела кадров.
— При увольнении работника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию Генерального директора.
— Допуск к персональным данным работника других сотрудников Общества, не имеющих надлежащим образом оформленного доступа, запрещается.
— Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях при наличии письменного разрешения начальника отдела кадров.
4. Защита информационных систем Общества, в которых обрабатываются персональные данные работников, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с утвержденными Генеральным директором локальными нормативными актами: Политика по защите персональных данных в Обществе с ограниченной ответственностью «#COMPANY_NAME#» и Положение о мерах по организации защиты информационных систем персональных данных в Обществе с ограниченной ответственностью «#COMPANY_NAME#».
Защита доступа к электронным носителям, содержащим персональные данные работников, обеспечивается, том числе:
— Организацией контроля доступа в помещения информационной системы посторонних лиц.
— Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным.
— Разграничением прав доступа с использованием учетной записи.
— Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
— Учетом машинных носителей персональных данных.
— Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
— Контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
Статья X. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
1. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные работника, несет персональную ответственность за данное разрешение.
Каждый сотрудник Общества, получающий для работы документ, содержащий персональные данные работника, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
2. Генеральный директор Общества за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.
3. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных работников Работодатель вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания:
а) замечание;
б) выговор;
в) предупреждение о неполном должностном соответствии;
г) освобождение от занимаемой должности;
д) увольнение.
За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.
Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.
4. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
5. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
Статья XI. СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ, НОРМАТИВНЫХ И ЛОКАЛЬНЫХ АКТОВ
Разработка настоящего Положения осуществлена в соответствии со следующими нормативными документами:
Конституцией Российской Федерации
Трудовым кодексом Российской Федерации
Гражданским кодексом Российской Федерации
Налоговым кодексом Российской Федерации
Федеральным законом от 19.12.2005 №
Федеральным законом от 27.07.2006 №
Федеральным законом от 27.07.2006 №
Федеральным законом от 29.11.2010 №
Федеральным законом от 15.12.2001 №
Федеральным законом от 16.07.1999 года №
Федеральным законом №
Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»
Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Локальным нормативным актом «Политика по защите персональных данных в ООО «#COMPANY_NAME#»
Локальным нормативным актом «Правила внутреннего трудового распорядка в ООО «#COMPANY_NAME#»
СПИСОК ПРИЛОЖЕНИЙ К ПОЛОЖЕНИЮ
Приложение № 1. Типовая форма письменного согласия работника на обработку его персональных данных.
Приложение № 2. Типовая форма письменного согласия работника на передачу его персональных данных третьей стороне.
Приложение № 3. Типовая форма обязательства о соблюдении режима конфиденциальности персональных данных работника.
Приложение № 4. Типовая форма Акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работника.
Приложение № 5. Типовая форма «Перечень должностей сотрудников, имеющих доступ к персональным данным работников ООО „#COMPANY_NAME#“, и которым они необходимы в связи с исполнением трудовых обязанностей»
