Подведомственное учреждение Министерства социальной политики Нижегородской области

 Версия для слабовидящих

Положение об обработке персональных данных работников государственного бюджетного учреждения «Замятинский дом социального обслуживания для детей «Лесная сказка»

1. Общие положения

1.1. Настоящее Положение об обработке персональных данных (далее — Положение) Государственного бюджетного учреждения «Замятинский дом социального обслуживания для детей «Лесная сказка»

разработано в соответствии с Конституцией Российской Федерации,  с Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» ииными федеральными законами и нормативно-правовыми актами.

1.2. Целью настоящего Положения является развитие комплекса мер, направленных на обеспечение защиты прав и свобод работников учреждения при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников учреждения, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Настоящее Положение вступает в силу с момента его утверждения приказом учреждения. Все изменения в Положение вносятся приказом учреждения.

1.4. Все работники должны быть ознакомлены под роспись с настоящим Положением и изменениями к нему. Вновь принятые работники должны быть ознакомлены с настоящим Положением до заключения трудового договора под роспись.

2. Основные понятия и состав персональных данных

2.1. В настоящем Положении используются следующие основные понятия:

  • Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
  • Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
  • Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • Использование персональных данных - действия (операции) с
    персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
  • Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
  • Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
  • Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
  • Информация – сведения (сообщения, данные) независимо от формы их предоставления;
  • Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
  • Информационная система персональных данных - информационная
    система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • Конфиденциальность персональных данных - обязательное для
    соблюдения работодателем или иным, получившим доступ к персональным данным лицам, требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
  • Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

2.2. В состав персональных данных работников входят документы, содержащие информацию о биографических сведениях:

  • дата и место рождения;
  • гражданство;
  • семейное положение;
  • сведения о приемах, перемещениях и увольнениях по предыдущим местам работы;
  • паспортные данные;
  • документы, содержащие сведения об образовании, специальности и их копии дипломы, аттестаты, свидетельства и пр.);
  • занимаемая должность;
  • отношение к воинской обязанности;
  • наличие судимостей;
  • адрес места жительства;
  • социальное и имущественное положение;
  • контактные телефоны, в том числе домашний телефон;
  • состав семьи;
  • место работы или учебы членов семьи и родственников;
  • размер заработной платы;
  • содержание трудового договора;
  • состав декларируемых сведений о наличии материальных ценностей;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • подлинники и копии приказов по личному составу;
  • личные дела, личные карточки работников формы Т-2, утвержденные
    постановлением Госкомстата от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» (далее по тексту- карточка ф. Т-2) и трудовые книжки;
  • основания к приказам по личному составу;
  • дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;
  • копии отчетов, отправляемые в органы статистики;
  • анкеты;
  • результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

2.2.1. Информация, представляемая работником при приеме на работу, должна иметь документальное оформление. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку, за исключением случаев, когда трудовой договор
    заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета - для военнообязанных и лиц, подлежащих
    призыву на военную службу;
  • документ об образовании, о квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • справка о наличии (отсутствии) судимости и (или)факта уголовного преследования, либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно правовому регулированию в сфере внутренних дел;
  • свидетельство о присвоении ИНН;
  • дополнительные документы - в случаях предусмотренных федеральными
    законами, указами Президента РФ или постановлениями Правительства РФ.

2.2.2. При оформлении трудовых отношений с работником, работником
кадрового подразделения учреждения заполняется карточка ф. Т-2, в которой
отражаются следующие анкетные и биографические данные работника, которые относятся к персональным данным:

  • общие сведения (ФИО работника, дата рождения, место рождения, пол,
    гражданство, образование, профессия, общий трудовой стаж, состояние в браке, состав семьи, паспортные данные, адрес места жительства, дата регистрации по месту жительства, номер телефона);
  • сведения о воинском учете;
  • данные о приеме на работу.

В дальнейшем в личную карточку вносятся:

  • сведения о переводах на другую работу;
  • сведения об аттестации;
  • сведения о повышении квалификации;
  • сведения о профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения об отпусках;
  • сведения о социальных льготах и гарантиях.

2.3. В кадровом подразделении организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

2.3.1. Документы, содержащие персональные данные:

  • комплексы документов, сопровождающие процесс оформления трудовых
    отношений при приеме на работу, переводе, увольнении;
  • комплекс материалов по анкетированию, тестированию, оценке работников;
  • комплекс материалов по проведению собеседований с кандидатом на
    должность;
  • подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников;
  • дела, содержащие основания к приказам по личному составу;
  • дела, содержащие материалы аттестации работников;
  • комплекс материалов служебных расследований;
  • справочно-информационный банк данных работников (картотеки, журналы);
  • подлинники и копии отчетных, аналитических и справочных материалов,
    передаваемых руководству учреждения, руководителям обособленных структурных подразделений;
  • копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

2.3.2. Документы по планированию, учету, анализу и отчетности в области
работы с персоналом организации; документы по организации работы (положения, должностные инструкции работников, приказы, распоряжения).

3. Порядок обработки персональных данных

3.1. Порядок получения персональных данных

3.1.1. Сбор, систематизация, накопление, хранение, уточнение (обновление,
изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных или любое другое использование персональных данных работодателем может осуществляться исключительно в целях:

  • выполнения работником закрепленных за ним трудовых функций;
  • содействия в трудоустройстве работников, обеспечения их личной безопасности и контроля количества и качества выполняемой работы;
  • решения вопросов карьерного планирования, обучения, очередности предоставления ежегодного отпуска, установления размера заработной платы, допуска работника к информации, составляющей служебную или коммерческую тайну;
  • обеспечения сохранности имущества предприятия;
  • обеспечения соблюдения на предприятии действующего законодательства
    Российской Федерации.

3.1.2. Все персональные данные работника следует получать непосредственно от работника.

  • Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
  • Письменное согласие на обработку персональных данных в форме заявления должно включать:
    •  фамилию, имя, отчество, адрес работника, номер основного документа,
      удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    • наименование и адрес работодателя, получающего согласие работника;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие работника;
    • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
    • срок, в течение которого действует согласие, а также порядок его отзыва.

3.1.5. Работник при изменении персональных данных письменно уведомляет
работодателя о таких изменениях в срок, не превышающий трех рабочих дней.

3.1.6. По мере необходимости работодатель истребует у работника
дополнительные сведения, входящие в состав персональных данных. Работник представляет необходимые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

3.1.7. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие в форме заявления.

3.1.8. Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.1.9. Согласие работника не требуется в следующих случаях:

  • обработка персональных данных осуществляется на основании Трудового
    кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
  • обработка персональных данных осуществляется в целях исполнения трудового договора;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.2. Порядок обработки, передачи и хранения персональных данных

  • Работник предоставляет специалисту кадрового подразделения организации достоверные сведения о себе. Работник кадрового подразделения предприятия проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
  • В соответствии со статьей 86 главы 14 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

3.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2.2. При определении объема и содержания, обрабатываемых персональных работодатель должен руководствоваться Конституцией Российской Федерации, кодексом Российской Федерации и иными федеральными законами.

3.2.2.3. Защита персональных данных работника от неправомерного их использования пли утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и Федеральным законом РФ от 27.07.2006 № 152-ФЗ«О персональных данных».

3.2.2.4. Работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.2.2.5. Работники не должны отказываться от своих прав на сохранение и
защиту тайны.

3.3. При получении персональных данных не от работника (за исключением
случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

  • наименование и адрес оператора;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О
    персональных данных» права работника.

3.4. При обработке персональных данных работодатель вправе определять
способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.

4. Ограничения, связанные с обработкой персональных данных

4.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

4.2. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной (электронной) обработки.

4.3. Работодатель не вправе принимать решения, затрагивающие интересы
работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

4.4. Информация о состоянии здоровья работника может запрашиваться только в отношении тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

5. Передача персональных данных

При передаче персональных данных работодатель должен соблюдать следующие требования:

5.1. Передача третьей стороне (внешняя передача)

5.1.1. Передача персональных данных от работодателя третьей стороне может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

5.1.2. При передаче данных третьей стороне работодатель не должен сообщать персональные данные без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных действующим Трудовым кодексом РФ и Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

5.1.3. При передаче данных третьей стороне необходимо предупредить третью сторону о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от третьей стороны подтверждения того, что это правило соблюдено. Также, третья сторона, получившая персональные данные работника, обязана соблюдать режим секретности (конфиденциальности).

5.1.4. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника, либо отсутствует письменное согласие работника на предоставление его персональных данных, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

  • Персональные данные работника могут быть переданы представителям работника в порядке, установленном Трудовым кодексом РФ и в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
  • Ответы на правомерные письменные запросы внешних организаций о передаче персональных данных работников даются с разрешения работников в письменной форме и в том объеме, который не позволяет разглашать излишний объем персональных данных.
  • Сведения, содержащие персональные данные, передаются в письменной форме и имеют гриф конфиденциальности.
  • При передаче персональных данных по возможности они обезличиваются, в этом случае гриф конфиденциальности снимается.
  • Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.

5.2. Передача персональных данных определенному кругу лиц (внутренняя передача)

  • Работодатель вправе разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.
  • Передача персональных данных определенному кругу лиц происходит в соответствии с настоящим Положением и другими действующими локальными нормативными актами организации, с которыми работник должен быть ознакомлен под роспись.
  • Не допускается передача личных дел и карточек ф. Т-2 на рабочие места работников организации. Личные дела могут выдаваться на рабочие места только директору ГБУ «Замятинский ДДИ»», сотруднику кадрового подразделения и, в исключительных случаях, по письменному разрешению работодателя руководителям, имеющим внутренний доступ к персональным данным настоящего Положения.

6. Защита и хранение персональных данных

6.1. Защита персональных данных представляет собой принятие правовых,
организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа;
  • реализацию права на доступ к информации.

6.2. С целью предупреждения несанкционированного доступа к персональным данным в организации организована внутренняя и внешняя защита персональных данных.

6.3. Работодатель и лица, имеющие внутренний доступ к персональным данным, организуют следующий порядок действий:

6.3.1. При внутренней защите:

  • ограничение и регламентацию состава работников, функциональные обязанности которых требуют знания и работы с персональными данными;
  • строгое избирательное и обоснованное распределение документов и информации между работниками, имеющими внутренний доступ к персональным данным;
  •  рациональное размещение рабочих мест работников, имеющих внутренний доступ к персональным данным, при котором исключается бесконтрольное использование защищаемой информации;
  • знание работниками, имеющими внутренний доступ к персональным данным требований нормативно - методических документов по защите персональных данных;
  • наличие необходимых условий в помещении для работы с документами,
    содержащими персональные данные и электронной базой данных;
  • уничтожение персональных данных;
  • проведение воспитательной и разъяснительной работы с работниками по
    предупреждению утраты ценных сведений при работе с конфиденциальными
    документами.

6.3.2. При внешней защите установлен следующий порядок:

  • не допускается распространение информации посторонним лицам о распределении функций, рабочих процессах, технологии составления, оформления, ведения и хранения документов, дел и рабочих материалов;
  • территория находится под видеонаблюдением;
  • требования к защите информации при интервьюировании и собеседованиях.

 6.4. Персональные данные работников хранятся в кадровом подразделении учреждения в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа, с соблюдением требований действующего законодательства Российской Федерации.

6.5. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерных программах «1С-Бухгалтерия», «Полный Бухгалтерский учет».

6.6. В случае выдачи личного дела и карточки ф. Т-2 на рабочее место руководителя (согласно п. 5.2.3 настоящего Положения), они в конце рабочего дня подлежат сдаче в кадровое подразделение предприятия.

6.7. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается 2-ступенчатой системой защиты:

  • на уровне локальной компьютерной сети;
  • на уровне электронной базы данных.

6.8. Пароли на все компьютеры, содержащие персональные данные работников, устанавливаются ответственным по обеспечению работы с персональными данными и сообщаются сотруднику кадрового подразделения и индивидуально работникам, имеющим доступ к персональным данным.

6.9. Все меры конфиденциальности при сборе, обработке и хранении
персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители персональных данных.

7. Права и обязанности работников при обработке персональных данных

7.1. Работник имеет право на:

  • Полную информацию о своих персональных данных и об обработке этих данных;
  • Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.

7.2. Работники организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.3. Руководитель организации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает потерпевшим ущерб, причиненный неправомерным использованием информации, содержащей персональные данные.

 Скачать положение

Нажмите, чтобы прослушать выделенный текст