Примерная форма положения о защите, хранении, обработке и передаче персональных данных работников (подготовлено экспертами компании "Гарант")


[организационно-правовая форма,
наименование организации, предприятия
]

Утверждаю

Приказ N [значение] от [число, месяц, год]
[должность руководителя, Ф. И. О.]
[подпись]

[число, месяц, год]

М. П.


Положение
о защите, хранении, обработке и передаче персональных данных работников


[наименование предприятия, организации]


1. Общие положения


1.1. Настоящее Положение регламентируется Конституцией Российской Федерации, Трудовым кодексом РФ, Федеральным законом "Об информации, информационных технологиях и о защите информации" N 149-ФЗ от 27.07.2006 года, Федеральным законом "О персональных данных" N 152-ФЗ от 27.07.2006 года (далее - Федеральный закон) и другими нормативными правовыми актами.

1.2. Персональные данные Работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного Работника.

1.3. К персональным данным относятся:

- фамилия, имя, отчество;

- дата рождения;

- гражданство;

- номер страхового свидетельства;

- ИНН;

- знание иностранных языков;

- данные об образовании (номер, серия дипломов, год окончания);

- данные о приобретенных специальностях;

- семейное положение;

- данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);

- фактическое место проживания;

- контактная информация;

- данные о военной обязанности;

- данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.).

1.4. Все персональные сведения о Работнике Работодатель может получить только от него самого. В случаях, когда Работодатель может получить необходимые персональные данные Работника только у третьего лица, Работодатель должен уведомить об этом Работника и получить от него письменное согласие.

1.5. Работодатель обязан сообщить Работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа Работника дать письменное согласие на их получение.

1.6. Персональные данные Работника являются конфиденциальной информацией и не могут быть использованы Работодателем или любым иным лицом в личных целях.

1.7. При определении объема и содержания персональных данных Работника Работодатель руководствуется настоящим Положением, Конституцией РФ, Трудовым кодексом РФ, иными федеральными законами.

1.8. Работодатель, Работник и его представители совместно разрабатывают меры защиты персональных данных Работника.

1.9. Работник не должен отказываться от своих прав на сохранение и защиту тайны.


2. Хранение, обработка и передача персональных данных работника


2.1. Обработка персональных данных Работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия Работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2.2. Персональные данные Работника хранятся в отделе кадров, в сейфе на бумажных носителях: трудовая книжка, личная карточка и на электронных носителях с ограниченным доступом.

Право доступа к персональным данным Работника имеют:

- руководитель организации;

- начальник отдела кадров организации;

- сотрудники отдела кадров.

2.3. Начальник отдела кадров вправе передавать персональные данные Работника в бухгалтерию организации в случаях, установленных законодательством, необходимых для исполнения обязанностей работников бухгалтерии.

2.4. Руководитель организации может передавать персональные данные Работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья Работника, а также в случаях, установленных законодательством.

2.5. При передаче персональных данных Работника начальник отдела кадров и Руководитель организации предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное подтверждение соблюдения этого условия.

2.6. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных Работника, определяются должностными инструкциями.

2.7. Все сведения о передаче персональных данных Работника учитываются для контроля правомерности использования данной информации лицами, ее получившими.

2.8. Начальник отдела кадров обязан предоставлять персональную информацию в пенсионный фонд, фонд обязательного медицинского страхования (ФОМС), фонд социального страхования (ФСС) по форме, в порядке и объеме, установленных законодательством РФ.


3. Требования к помещениям, в которых производится обработка персональных данных


3.1. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

3.2. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.

3.3. Определение уровня специального оборудования помещения осуществляется специально создаваемой комиссией. По результатам определения класса и обследования помещения на предмет его соответствия такому классу составляются акты.

3.4. Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, реализуются дополнительные требования, определяемые методическими документами Федеральной службы безопасности России.


4. Обязанности работодателя по хранению и защите персональных данных работника


4.1. Работодатель обязан за свой счет обеспечить защиту персональных данных Работника от неправомерного их использования или утраты в порядке, установленном законодательством РФ.

4.2. Работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Работодатель самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение Работодателем ответственного за организацию обработки персональных данных;

2) издание Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

6) ознакомление работников Работодателя, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

4.3. Работодатель обязан ознакомить Работника и его представителей с настоящим Положением и их правами в области защиты персональных данных под расписку.

4.4. Работодатель обязан осуществлять передачу персональных данных Работника только в соответствии с настоящим Положением и законодательством РФ.

4.5. Работодатель обязан предоставлять персональные данные Работника только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим Положением и законодательством РФ.

4.6. Работодатель не вправе получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых отношений, Работодатель вправе получать и обрабатывать персональные данные Работника о его личной жизни, только с письменного согласия Работника.

4.7. Работодатель не имеет права получать и обрабатывать персональные данные Работника о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

4.8. Работодатель не вправе предоставлять персональные данные Работника в коммерческих целях без письменного согласия Работника.

4.9. Работодатель обязан обеспечить Работнику свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством.

4.10. Работодатель обязан по требованию Работника предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.11. Работодатель обязан ежегодно под роспись знакомить Работника с записями в личной карточке Т-2.


5. Права работника на защиту его персональных данных


5.1. Работник в целях обеспечения защиты своих персональных данных, хранящихся у Работодателя, имеет право:

- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;

- определять своих представителей для защиты своих персональных данных;

- на доступ к относящимся к нему медицинских данных с помощью медицинского специалиста по их выбору;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего Положения и законодательства РФ.

При отказе Работодателя исключить или исправить персональные данные Работника Работник вправе заявить Работодателю в письменном виде о своем несогласии с соответствующим обоснованием;

- требовать от Работодателя извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2. Если Работник считает, что Работодатель осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, Работник вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.


6. Порядок уничтожения, блокирования персональных данных


6.1. В случае выявления неправомерной обработки персональных данных при обращении Работника Работодатель обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Работнику, с момента такого обращения на период проверки.

6.2. В случае выявления неточных персональных данных при обращении Работника Работодатель обязан осуществить блокирование персональных данных, относящихся к этому Работнику, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы Работника или третьих лиц.

6.3. В случае подтверждения факта неточности персональных данных Работодатель на основании сведений, представленных Работником, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Работодателем, Работодатель в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.

6.5. В случае если обеспечить правомерность обработки персональных данных невозможно, Работодатель в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.

6.6. Об устранении допущенных нарушений или об уничтожении персональных данных Работодатель обязан уведомить Работника.

6.7. В случае достижения цели обработки персональных данных Работодатель обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором.

6.8. В случае отзыва Работником согласия на обработку его персональных данных Работодатель обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором.

6.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.8 настоящего Положения, Работодатель осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.


7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника


7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными Федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

7.2. Моральный вред, причиненный Работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Работником убытков.


8. Заключительные положения


8.1. Настоящее Положение вступает в силу с момента его утверждения.

8.2. Работодатель обеспечивает неограниченный доступ к настоящему документу.

8.3. Настоящее Положение доводится до сведения всех работников персонально под роспись.


С Положением ознакомлены:


N
п/п

Ф. И. О. работника

Дата

Подпись

1

2

3

4



Примерная форма положения о защите, хранении, обработке и передаче персональных данных работников


Разработана: Компания "Гарант", февраль, 2016 г.


Текст документа на сайте мог устареть

Заинтересовавший Вас документ доступен только в коммерческой версии системы ГАРАНТ.

Вы можете приобрести документ за 54 рубля или получите полный доступ к системе ГАРАНТ бесплатно на 3 дня


Получить доступ к системе ГАРАНТ

(Документ будет доступен в личном кабинете в течение 3 дней)

(Бесплатное обучение работе с системой от наших партнеров)


Чтобы приобрести систему ГАРАНТ, оставьте заявку и мы подберем для Вас индивидуальное решение

Если вы являетесь пользователем системы ГАРАНТ, то Вы можете открыть этот документ прямо сейчас, или запросить его через Горячую линию в системе.