Положение о защите, хранении, обработке и передаче персональных данных работников

1. Общие положения

1.1. Настоящее Положение о защите, хранении, обработке и передачи персональных данных работников ИП Гладкова Е.В. (далее – Организация или Работодатель) разработано в соответствии со следующими нормативными правовыми актами:

– Трудовой кодекс Российской Федерации;

– Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональныхданных»;

– Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

– Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

– Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

– Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных  данных».

1.2. Персональные данные работников – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

1.3. К персональным данным работников относятся:

-          фамилия, имя, отчество;

-          год рождения, месяц рождения, дата рождения, место рождения;

-          семейное положение, социальное положение, имущественное положение;

-          доходы;

-          пол;

-          адрес электронной почты;

-          адрес места жительства, адрес регистрации;

-          номер телефона;

-          СНИЛС, ИНН;

-          гражданство, данные документа, удостоверяющего личность;

-          реквизиты банковской карты, номер расчетного счета, номер лицевого счета;

-          профессия, должность;

-          сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации) ;

-          отношение к воинской обязанности, сведения о воинском учете;

-          иные персональные данные, сведения, собираемые посредством метрических программ;

-          сведения об образовании;

-          фото-видео изображение лица, данные голоса человека, данные изображения лица, полученные с помощью фото- и видеоустройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

-          данные голоса человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

1.4. Обработка персональных данных – Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, распространение, иные действия.

Оператор – юридическое, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.

1.5. Персональные данные работников являются конфиденциальной информацией и не могут быть использованы Работодателем или любым иным лицом в личных целях.

2. Сбор, обработка и защита персональных данных работников

2.1. Все персональные сведения о работнике Работодатель может получить только от него самого.

В случаях, когда Работодатель может получить необходимые персональные данные работника только у третьего лица, Работодатель должен уведомить об этом работника и получить от него письменное согласие.

2.2. Работодатель обязан сообщить работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работника дать письменное согласие на их получение.

2.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, а также о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

2.4. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2.5. Обработка указанных персональных данных работников Работодателем возможна только с их письменного согласия.

2.6. Письменное согласие работника на обработку своих персональных данных должно включать:

– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

– цель обработки персональных данных;

– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

– срок, в течение которого действует согласие, а также порядок его отзыва.

3. Передача и хранение персональных данных работников

3.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:

– не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

– не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

– обработка персональных данных работника в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;

– предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

– лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);

– осуществлять передачу персональных данных работников в пределах Организации в соответствии с настоящим Положением;

– разрешать доступ к персональным данным работника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции;

– не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

– передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.

3.2. Персональные данные работников хранятся в бухгалтерии, в сейфе на бумажных носителях и на электронных носителях с ограниченным доступом.

3.3. Право доступа к персональным данным работников имеют:

– руководитель Организации;

– сотрудники отдела кадров;

– сотрудники бухгалтерии;

– руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).

4. Обязанности работодателя по защите персональных данных работника

4.1. Работодатель обязан за свой счет обеспечить защиту персональных данных работников от неправомерного их использования или утраты в порядке, установленном законодательством РФ.

4.2. Работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральными законами в области защиты персональных данных и иными нормативными правовыми актами:

–  назначать сотрудника, ответственного за организацию обработки персональных данных;

– издавать документы, определяющие политику Организации в отношении обработки персональных данных, локальные акты по вопросам обработки и защиты персональных данных;

– применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;

– при сборе персональных данных работника-гражданина РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных работника с использованием баз данных, находящихся на территории РФ

– осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных федеральным законам в области защиты персональных данных и иным нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

– оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения законодательства в области защиты персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;

– знакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства в области защиты персональных данных, в том числе с документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучать указанных работников.

4.3. Работодатель обязан ознакомить работника и его представителей с настоящим Положением и их правами в области защиты персональных данных под роспись.

4.9. Работодатель обязан обеспечить работнику свободный бесплатный доступ к его персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законом.

4.10. Работодатель обязан по требованию работника предоставить ему полную информацию о его персональных данных и обработке этих данных.

5. Права работников на защиту персональных данных

5.1. Работник в целях обеспечения защиты своих персональных данных, хранящихся у Работодателя, имеет право получать от Работодателя:

– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

– перечень обрабатываемых персональных данных и источник их получения;

– сроки обработки персональных данных, в том числе сроки их хранения;

– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2 Работник вправе получать доступ к своим персональным данным и знакомиться с ними, а также получать копии любой записи, содержащей персональные данные работника;

5.3. Работник может требовать от Работодателя уточнить, исключить или исправить неполные, неверные, устаревшие, недостоверные, незаконно полученные или не являющиеся необходимыми для Работодателя персональные данные;

5.4 Работник вправе требовать от Работодателя извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.5. Если работник считает, что Работодатель осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, работник вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Порядок уничтожения, блокирования персональных данных

6.1. В случае выявления неправомерной обработки персональных данных при обращении работника Работодатель обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому работнику, с момента такого обращения.

6.2. В случае выявления неточных персональных данных при обращении работника Работодатель обязан осуществить блокирование персональных данных, относящихся к этому работнику, с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы работника или третьих лиц.

6.3. В случае подтверждения факта неточности персональных данных Работодатель на основании сведений, представленных работником, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Работодателем, Работодатель в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.

6.5. Если обеспечить правомерность обработки персональных данных невозможно, Работодатель в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.

6.6. Об устранении допущенных нарушений или об уничтожении персональных данных Работодатель обязан уведомить работника.

6.7. В случае достижения цели обработки персональных данных Работодатель обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором.

6.8. В случае отзыва работником согласия на обработку его персональных данных Работодатель обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором.

6.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.8 настоящего Положения, Работодатель осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

7.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

8. Заключительные положения

8.1. Настоящее Положение вступает в силу с момента его утверждения уполномоченным лицом Организации и действует бессрочно, до замены его новым Положением.

8.2. Все изменения в Положение вносятся приказом уполномоченного лица Организации.

8.3. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.