Положение о защите персональных данных работников
1. Общие положения
1.1. Положение (далее – Положение) о защите персональных данных работников (далее – образовательное учреждение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» с изменениями от 29.10.2010г, Федеральным законом Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудовым кодексом Российской Федерации (далее – ТК РФ), другими федеральными законами и иными нормативными правовыми актами.
1.2. Положение является локальным нормативным актом, регламентирующим порядок обеспечения защиты персональных данных работников при их обработке в образовательном учреждении, в том числе защиты от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника, права и обязанности работников и руководителя образовательного учреждения, а также ответственность лиц, имеющих доступ к персональным данным работников, за невыполнение правовых норм, регулирующих обработку и защиту персональных данных работников.
1.4. В настоящем Положении используются следующие основные понятия и термины:
- персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
- защита персональных данных – комплекс мер технического, организационного и организационно-технического, правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных – работнику);
- персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника;
- общедоступные персональные данные работника – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- работник – физическое лицо, вступившее в трудовые отношения с работодателем (образовательным учреждением);
- работодатель – юридическое лицо (образовательное учреждение), вступившее в трудовые отношения с работником;
- оператор – юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных работника, а также определяющее цели и содержание обработки персональных данных;
- обработка персональных данных работника – действия (операции) с персональными данными работника, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
- использование персональных данных – действия (операции) с персональными данными, совершаемые работодателем (уполномоченным им лицом) в целях принятия решений или совершения иных действий, порождающих юридические
- последствия в отношении работников или других лиц либо иным образом затрагивающих права и свободы работников или других лиц;
- конфиденциальность персональных данных – обязательное для соблюдения работодателем или лицом, получившим доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
- блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
- уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.5. Персональные данные работников относятся к категории конфиденциальной информации.
1.6. Настоящее Положение является локальным нормативным актом, который утверждается работодателем с учетом мнения выборного органа первичной профсоюзной организации в порядке, установленном ст. 372 ТК РФ для принятия локальных нормативных актов.
2. Состав персональных данных работников
2.1. К персональным данным работников, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие документы, содержащиеся в личных делах работников:
- копия паспорта (паспортные данные работника);
- копия страхового свидетельства государственного пенсионного страхования;
- копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
- копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в т.ч. автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
- документы, которые с учетом специфики работы и в соответствии с законодательством РФ должны быть предъявлены работником при заключении трудового договора или в период его действия;
- трудовой договор (соглашения о внесении изменений и дополнений в него);
- заключение по данным психологического исследования (если такое имеется);
- копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
- личная карточка по форме Т-2;
- заявления, объяснительные и служебные записки работника;
- документы о прохождении работником аттестации, собеседования, повышения квалификации (аттестационный лист);
- документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником.
2.2. Документы, содержащие персональные данные работников, создаются путем:
- копирования оригиналов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- получения оригиналов необходимых документов.
3. Основные условия проведения обработки персональных данных работников
3.1. При определении объема и содержания обрабатываемых персональных данных работников работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
3.2. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.3. Персональные данные следует получать у самого работника. Если персональные данные работника, возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.4. При получении персональных данных работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
3.6. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
3.7. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными), работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные законодательством права субъекта персональных данных.
3.8. Обработка указанных персональных данных работников работодателем возможна без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и
- получение согласия работника невозможно;
- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
3.9. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
4. Хранение и передача персональных данных работников
4.1. Персональные данные работников учреждения хранятся на бумажных и электронных носителях в специально предназначенном для этого помещении.
4.2. Для организации хранения персональных данных в образовательном учреждении специалисты по информационной работе и другие специалисты проводят мероприятия по определению круга информационных систем и совокупности обрабатываемых персональных данных, категорированию персональных данных и предварительной классификации информационных систем.
4.3. В процессе хранения персональных данных работников необходимо обеспечивать:
- требования законодательства, устанавливающие правила хранения конфиденциальных сведений;
- сохранность имеющихся данных, ограничение доступа к ним в соответствии с законодательством РФ и настоящим Положением;
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
4.4. Доступ к персональным данным работников разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
4.5. Внутренний доступ к персональным данным работников в образовательном учреждении осуществляется в соответствии со списком лиц, уполномоченных на получение и доступ к персональным данным, утвержденным приказом руководителя образовательного учреждения.
Иные права и обязанности работников образовательного учреждения, в трудовые обязанности которых входит обработка персональных данных работников, определяются также должностными инструкциями.
4.6. Право внутреннего доступа к персональным данным работников образовательного учреждения имеют:
- руководитель организации;
- работник, чьи персональные данные подлежат обработке;
- работники, уполномоченные в соответствии с приказом на получение и доступ к персональным данным работников.
4.7. В целях обеспечения надлежащего выполнения трудовых обязанностей доступ к персональным данным работника может быть предоставлен на основании приказа руководителя образовательного учреждения иному работнику, должность которого не включена в список лиц, уполномоченных на получение и доступ к персональным данным.
4.8. Юридическим и физическим лицам, оказывающим услуги образовательному учреждению на основании заключенных гражданско-правовых договоров (либо на иных основаниях), которым необходим доступ к персональным данным работников образовательного учреждения в связи с выполнением ими обязательств по указанным договорам, соответствующие данные могут предоставляться работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации.
В исключительных случаях, исходя из договорных отношений с третьими лицами, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работников.
4.9. Работники, осуществляющие обработку персональных данных, должны быть уведомлены в письменной форме о своей обязанности не разглашать персональные данные работников, к которым они получили доступ.
4.10. Получателями персональных данных работника вне учреждения на законном основании являются органы пенсионного обеспечения, органы социального страхования, определяемые в соответствии с федеральными законами о конкретных видах обязательного социального страхования; органы прокуратуры и другие правоохранительные органы; налоговые органы; федеральная инспекция труда; профессиональные союзы, а также иные органы и организации в соответствии с федеральными законами.
4.11. Работодатель не может сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
4.12. Работодатель обязан передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
4.13. Любые лица, обладающие доступом к персональным данным работников образовательного учреждения, обязаны соблюдать специальный режим их использования и защиты. Лица, получившие персональные данные работника на законном основании, обязаны использовать их исключительно в целях, которые заявлялись при запросе соответствующей информации, а также не разглашать такую информацию (исключения из данного правила определяются только федеральными законами).
Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
4.14. В целях обеспечения соблюдения режима конфиденциальности персональных данных в образовательном учреждении ведутся следующие учетные документы движения персональных данных работников:
- журнал учета внутреннего доступа к персональным данным работников в учреждении;
- журнал учета выдачи персональных данных работников учреждения организациям и государственным органам (журнал учета внешнего доступа к персональным данным работников);
- журнал проверок наличия документов, содержащих персональные данные работников;
- журнал учета применяемых работодателем носителей информации.
5. Способы защиты персональных данных работников
5.1. Защита персональных данных работников представляет собой регламентированный технологический, организационный и иной процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных работников образовательного учреждения и обеспечивающий надежную безопасность информации.
5.2. Защита персональных данных работников от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
5.3. Для обеспечения внутренней защиты персональных данных работников работодатель:
- избирательно и обоснованно распределяет документы и информацию между работниками, имеющими доступ к персональным данным;
- своевременно обеспечивает работников информацией о требованиях законодательства по защите персональных данных;
- обеспечивает организацию порядка уничтожения информации;
- проводит разъяснительную работу с работниками, имеющими доступ к персональным данным, по предупреждению утраты сведений при работе с персональными данными.
5.4. Для обеспечения внешней защиты персональных данных работников работодатель:
- обеспечивает порядок приема, учета и контроля деятельности посетителей;
- организует пропускной режим;
- обеспечивает охрану территории, зданий, помещений, транспортных средств.
5.5. В случае выявления недостоверных персональных данных работника или неправомерных действий с ними на период проверки работодатель обязан осуществить блокирование персональных данных работника с момента обращения его самого или его законного представителя либо получения запроса уполномоченного органа по защите прав субъектов.
5.6. При выявлении неправомерных действий с персональными данными работника работодатель обязан устранить допущенные нарушения не более трех рабочих дней с даты такого выявления.
В случае невозможности устранения допущенных нарушений работодатель не позднее чем через три рабочих дня с даты выявления неправомерности действий с персональными данными работника обязан уничтожить персональные данные работника.
5.7. В случае отзыва работником согласия на обработку своих персональных данных работодатель обязан прекратить обработку персональных данных работника и уничтожить их в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между работником и работодателем.
6. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
6.1. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на бесплатное получение полной информации о:
лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечне обрабатываемых персональных данных и источниках их получения;
- сроках обработки персональных данных, в том числе сроках их хранения;
- юридических последствиях обработки их персональных данных.
6.2. Работники имеют право на:
- бесплатное получение полной информации о своих персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, в том числе на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных; - доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
6.3. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
7. Обязанности работников в целях обеспечения достоверности их персональных данных
7.1. В целях обеспечения достоверности персональных данных работники обязаны:
- при приеме на работу в учреждение представлять о себе достоверные сведения в порядке и объеме, предусмотренном законодательством Российской Федерации;
- в случае изменения персональных данных работника (фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей) и т.п.) сообщать об этом работодателю в разумные сроки.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
8.2. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работник несет дисциплинарную и материальную ответственность в порядке, установленном ТК РФ, и иную юридическую ответственность в порядке, установленном федеральным законом.
8.3. Лица, в обязанность которых входит ведение персональных данных работников, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
8.4. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом РФ об административных правонарушениях.
9. Заключение
9.1. Изменения и дополнения в настоящее Положение вносятся в порядке, установленном ст. 372 ТК РФ для принятия локальных нормативных актов.