Положение по обработке и защите персональных данных клиентов и/или обслуживаемых граждан
- Общие положения
1.1. Настоящее Положение определяет порядок обработки и защиты персональных данных работников государственного бюджетного учреждения «Реабилитационный центр для детей и подростков с ограниченными возможностями «Дом» Сормовского района города Нижнего Новгорода» (далее - Учреждение) с целью защиты персональных данных работников Учреждения от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано в соответствии со статьей 24 Конституции Российской Федерации, Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".
1.3. Настоящее Положение является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным работников.
1.4. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
- Основные понятия
Для целей настоящего Положения используются следующие основные понятия:
- Работодатель – Государственное бюджетное учреждение «РЦДПОВ«Дом» Сормовского района г. Нижнего Новгорода» в лице директора, действующего на основании Устава, организующий и осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными;
- работник - физическое лицо, состоящее в трудовых отношениях с работодателем;
- персональные данные работника – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ).
конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным сотрудников, требование не допускать их распространения без согласия работника или иного законного основания;
- Основные понятия. Состав персональных данных работников
2.1. В состав персональных данных работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, входят:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой, повреждением или по другим причинам;
- данные страхового Свидетельства государственного пенсионного страхования (СНИЛС);
- данные свидетельства о постановке на учет в налоговом органе (ИНН);
- данные документов об образовании и (или) квалификации или наличии специальных знаний;
- при поступлении на работу, требующую специальных знаний или специальной подготовки;
- данные документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
- справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к выполнению которой в соответствии с Трудовым кодексом РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию);
- комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- подлинники и копии приказов (распоряжений) по кадрам;
- подлинники и копии приказов по личному составу;
- данные трудового договора;
-сведения о доходах;
- данные соглашений сторон (дополнительные соглашения);
- данные личной карточки по форме Т-2;
- сведения, содержащиеся в личном деле работника;
- сведения о трудовом стаже;
- сведения о социальных льготах;
- семейное, социальное, имущественное положение сотрудника;
- заключение по данным психологического исследования (если такое имеется);
- рекомендации, характеристики;
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
-подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Компании, руководителям структурных подразделений;
- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
- иные документы, которые с учетом специфики работы в Учреждении и в соответствии с законодательством Российской Федерации предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ предъявляются работником при заключении трудового договора или в период его действия (медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров, документы необходимые для корректного документального оформления трудовых правоотношений с работником.
- Обработка персональных данных работника
Обработка персональных данных работника в Учреждении осуществляется с целью исполнения условий трудового договора, обучения и профессиональной подготовки работника, а также для статистических целей при условии обезличивания персональных данных работника.
3.1. Получение персональных данных.
3.1.1. Все персональные данные предоставляются работником лично.
Если персональные данные работника возможно получить только у третьей стороны, то Работодатель заранее уведомляет об этом работника и получает от работника письменное согласие. Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.2. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника подлинными документами.
3.1.3. Работодатель вправе обрабатывать персональные данные сотрудников только с их письменного согласия.
3.1.4. Письменное согласие сотрудника на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование лица, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва4
- подпись субъекта персональных данных.
3.1.5. Согласие сотрудника не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
- обработка персональных данных в целях исполнения трудового договора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов сотрудника, если получение его согласия невозможно.
3.1.6. Сотрудник Компании представляет в отдел кадров достоверные сведения о себе. Отдел кадров проверяет достоверность сведений.
3.1.7. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Учреждения и его законные, полномочные представители при обработке персональных данных сотрудника должны выполнять следующие общие требования:
3.1.8. При определении объема и содержания, обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.1.9. При принятии решений, затрагивающих интересы сотрудника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
3.1.10. Защита персональных данных сотрудника от неправомерного их использования утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
3.1.11. Сотрудники и их представители должны быть ознакомлены под расписку с документами Учреждения, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
3.1.12. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
3.2. Накопление персональных данных работника.
3.2.1. Накопление персональных данных работника осуществляется на бумажных носителях (документах, делах) и в информационной системе «1С».
3.2.2. Бумажные носители (документы, дела), содержащие персональные данные работников:
- подлинники и копии приказов по личному составу;
- подлинники и копии приказов о предоставлении отпусков;
- личные дела работников;
- трудовые книжки работников;
- личная карточка работника по форме Т-2;
- тарификационные списки;
- списки штатно-списочного состава;
- дела, содержащие материалы – основания к приказам по личному составу;
- списки граждан, пребывающих в запасе и подлежащих воинскому учету,
- карточки-справки по заработной плате (доход работника);
- расчетно-платежные ведомости по заработной плате;
- записка-расчет об исчислении среднего заработка при предоставлении отпуска, увольнении и других случаях;
- при необходимости - иные документы, содержащие персональные данные работников.
3.2.3. Информационная система «1С» содержит следующие персональные данные работника:
- фамилию, имя, отчество,
- дату рождения,
- серию и номер документа, удостоверяющего личность работника, и сведения о выдаче данного документа,
- адрес места жительства работника,
- телефон работника,
- СНИЛС работника;
- ИНН работника,
- табельный номер работника,
- должность работника,
- номера приказов по личному составу,
- сведения о заработной плате (доход) работника.
3.2.4. Уточнение (обновление, изменение) персональных данных работника.
3.2.5. Уточнение (обновление, изменение) персональных данных работника производится на основании письменного заявления работника с приложением подтверждающих документов.
3.3. Передача персональных данных.
3.3.1. Передача персональных данных работника в государственные учреждения (организации) и фонды, в объеме необходимом для выполнения функций этими учреждениями, осуществляется в соответствии с законодательством Российской Федерации в интересах работника:
- в Пенсионный Фонд Российской Федерации;
- Фонд социального страхования Российской Федерации;
- в налоговые инспекции;
- министерство социальной политики Нижегородской области (Учредитель);
- военные комиссариаты – сведения о работниках, пребывающих в запасе и подлежащих воинскому учету;
- в иные организации по письменному заявлению работника.
При передаче персональных данных работника Работодатель соблюдает условия:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством Российской Федерации;
- не сообщать персональные данные сотрудника в коммерческих целях без его письменного согласия. Обработка персональных данных сотрудников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
- предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность.
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
3.3.2. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
3.3.3. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
3.3.4. Персональные данные работников обрабатываются и хранятся в отделе кадров.
3.3.5. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
3.3.6. При получении персональных данных не от работника (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом от 27.07.2006 N 152-ФЗ права субъекта персональных данных;
- источник получения персональных данных.
3.4. Доступ к персональным данным работника.
Доступ к персональным данным работника имеют уполномоченные лица для выполнения своих трудовых функций.
3.4.1. Внутренний доступ к персональным данным работника (доступ внутри Учреждения).
Право внутреннего доступа к персональным данным сотрудника имеют:
- директор;
- заместитель директора;
- заведующие отделениями по направлению деятельности (доступ к личным данным только работника своего отделения) по согласованию с директором;
- работники бухгалтерии;
-инспектор по кадрам;
- сотрудники секретариата (информация о фактическом месте проживания и контактные телефоны сотрудников);
- медицинский работник;
- сам работник, носитель персональных данных.
3.4.2. Внешний доступ к персональным данным работника.
Внешний доступ к персональным данным работника имеют государственные и негосударственные функциональные структуры, в объеме необходимом для выполнения функций этими учреждениями:
- налоговые инспекции;
- правоохранительные органы;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- министерство социальной политики Нижегородской области (учредитель).
3.4.3. Доступ к персональным данным работника иных организаций.
Сведения о работнике, в т.ч. уволенном, могут быть предоставлены другой организации только с письменного запроса организации с приложением заявления работника.
3.5. Хранение персональных данных работника.
3.5.1. Документы (дела), содержащие персональные данные работников, хранятся в шкафах в комнате инспектора по кадрам, трудовые книжки работников хранятся в сейфе комнате инспектора по кадрам.
Сроки хранения документов, содержащих персональные данные работников учреждения, устанавливаются работодателем в соответствии с законодательством Российской Федерации и номенклатурой дел Учреждения.
3.6. Уничтожение персональных данных работника.
3.6.1. Документы (дела), содержащие персональные данные работника, подлежат уничтожению по истечении сроков их хранения и в порядке, предусмотренном архивным законодательством Российской Федерации.
- Защита персональных данных работников
4.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников Учреждения все операции по оформлению, формированию, ведению и хранению должны выполняться только работниками, осуществляющими данную работу в соответствии со своими должностными обязанностями, зафиксированными в их должностных инструкциях.
4.2. Ответы на письменные запросы сторонних организаций и учреждений в пределах их компетенции даются в письменной форме на бланке Учреждения в объеме, который позволяет не разглашать излишнюю информацию о персональных данных работников Учреждения.
4.3. Передача информации, содержащей сведения о персональных данных работников учреждения, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
4.4. Персональные компьютеры, в которых содержатся персональные данные работников, защищаются паролями доступа, обеспечивающие несанкционированный доступ. Пароль доступа к персональному компьютеру известен непосредственно специалисту и директору учреждения.
- Обязанности Работодателя
5.1. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных работника Работодатель обязуется:
- осуществлять обработку персональных данных работника исключительно в целях обеспечения выполнения трудовых отношений, обеспечения личной безопасности работников;
- определять объем и содержания обрабатываемых персональных данных работника в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
- получать персональные данные работника непосредственно у самого работника;
- не получать и не обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель обязуется получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
- не получать и не обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
- обеспечить защиту персональных данных работника от неправомерного их использования или утраты в соответствии с законодательством Российской Федерации.
- Права и обязанности работника
6.1. Работник имеет право:
- на получение информации о своих персональных данных и обработке этих данных;
- на получение копий документов, содержащих его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных;
- заявить в письменной форме Работодателю о своем несогласии при отказе Работодателя исключить или исправить персональные данные работника;
- требовать об извещении Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в суде любые неправомерные действия или бездействие Работодателя при обработке и защите его персональных данных работника.
6.2. Работник обязан:
- предоставлять Работодателю свои достоверные документированные персональные данные;
- своевременно в срок, не превышающий 3 (трех) рабочих дней, сообщать Работодателю об изменении своих персональных данных.
- Ответственность за нарушение норм, регулирующих обработку персональных данных работника
7.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
7.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.