Положение о защите персональных данных работников ООО "Слава" ("Кадровик. Кадровое делопроизводство", N 12, декабрь 2012 г.)

Примерный образец

Утверждено

приказом Генерального директора

ООО "Слава"

от 01.12.2012 N 58

Положение о защите персональных данных работников ООО "Слава"

1. Настоящим Положением о защите персональных данных ООО "Слава" определяется порядок обработки персональных данных работников организации, а также ведения их личных дел в соответствии с Трудовым кодексом РФ, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", иными нормативно-правовыми актами РФ.

2. В настоящем Положении в соответствии со ст. 3 Федерального закона "О персональных данных" используются следующие основные понятия:

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

- трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

3. Представитель работодателя в лице генерального директора организации, а также начальник отдела кадров обеспечивают защиту персональных данных работников, содержащихся в их личных делах, от неправомерного их использования или утраты.

4. Доступ к персональным данным работников имеют:

- руководитель, заместители руководителя - к персональным данным работников курируемых ими подразделений или принимаемых на работу в эти подразделения;

- руководители и заместители руководителей структурных подразделений - к персональным данным работников возглавляемых ими структурных подразделений;

- работники отдела кадров, в должностных обязанностях которых предусмотрено ведение работы с документами, содержащими персональные данные работников;

- работники отдела планирования и бухгалтерии, отвечающие за составление статистики, расчет заработной платы работников, кассовые операции, расчеты с подотчетными лицами.

5. Сотрудники, указанные в п. 4 настоящего Положения, имеют право получать только те персональные данные работников, которые необходимы им для выполнения своих должностных обязанностей.

6. Ответственным за организацию и осуществление хранения персональных данных работников является заместитель генерального директора по работе с персоналом.

7. Генеральный директор определяет лиц, как правило, из числа сотрудников отдела кадров, уполномоченных на обработку персональных данных работников, обеспечивающих обработку персональных данных в соответствии с требованиями законодательства и несущих ответственность в соответствии с законодательством РФ за нарушение режима защиты этих персональных данных.

8. При обработке персональных данных работника сотрудники, ответственные за обработку персональных данных, обязаны соблюдать следующие требования:

а) обработка персональных данных работников осуществляется в целях обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия работнику в построении карьеры, в обучении и должностном росте, обеспечении личной безопасности, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества организации, учета результатов исполнения им должностных обязанностей;

- обработка персональных данных с использованием информационных систем персональных данных осуществляется в отдельных информационно-телекоммуникационных сетях, к которым подключены информационные системы персональных данных, физически изолированных от информационно-телекоммуникационных сетей общего пользования или изолированных с помощью сертифицированного межсетевого экрана;

- доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных должен требовать обязательного прохождения процедуры идентификации и аутентификации;

- передача персональных данных по незащищенным каналам связи допускается только при использовании средств шифрования;

б) персональные данные следует получать лично у работника.

В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных. Письменное согласие работника на обработку персональных данных хранится в отделе кадров;

в) запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

г) при принятии решений, затрагивающих интересы работника, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных работника от неправомерного их использования или утраты обеспечивается за счет средств организации в порядке, установленном Федеральным законом "О персональных данных", Трудовым кодексом и иными нормативными правовыми актами Российской Федерации;

е) обеспечение конфиденциальности персональных данных работников, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

ж) в случае выявления недостоверных персональных данных работников или неправомерных действий с ними сотрудника, ответственного за обработку персональных данных, при обращении или по запросу работника, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных сотрудник, ответственный за обработку персональных данных, обязан осуществить блокирование персональных данных, относящихся к соответствующему работнику, с момента такого обращения или получения такого запроса на период проверки;

з) в случае подтверждения факта недостоверности персональных данных работника сотрудник, ответственный за обработку персональных данных, на основании документов, представленных работником, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;

и) в случае выявления неправомерных действий с персональными данными сотрудник, ответственный за обработку персональных данных, в срок, не превышающий 3 рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений сотрудник, ответственный за обработку персональных данных, в срок, не превышающий 3 рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных сотрудник, ответственный за обработку персональных данных, обязан уведомить работника, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;

к) хранение персональных данных должно осуществляться в форме, позволяющей определить работника, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

9. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме работника, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

10. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом "О персональных данных".

11. В целях обеспечения защиты персональных данных, хранящихся в личных делах, работники имеют право:

а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом "О персональных данных";

в) требовать внесения необходимых изменений, уничтожения или блокирования персональных данных, если они являются неполными, устаревшими, недостоверными, а также полученными с нарушением законодательства РФ. Работник при отказе сотрудника, ответственного за обработку персональных данных, внести необходимые изменения, уничтожить или блокировать его персональные данные, имеет право заявить в письменной форме руководителю или начальнику отдела кадров о своем несогласии, обосновав соответствующим образом свое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

г) требовать от руководителя или начальника отдела кадров уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие персональные данные, обо всех произведенных в них изменениях;

д) обжаловать действия или бездействие сотрудника, ответственного за обработку персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если работник, являющийся субъектом персональных данных, считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы.

12. Работник, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого работника, несет ответственность в соответствии с федеральными законами.

13. На основе персональных данных работников формируются и ведутся, в том числе на электронных носителях, внутренние списки, структура и штатная численность работников.

14. Отдел кадров вправе подвергать обработке (в том числе автоматизированной) персональные данные работников при формировании кадрового резерва.

15. В личное дело работника вносятся его персональные данные и иные сведения, связанные с поступлением на работу, ее прохождением и увольнением с работы и необходимые для обеспечения деятельности работодателя.

Личное дело работника ведется отделом кадров.

16. Персональные данные, внесенные в личные дела работников, иные сведения, содержащиеся в личных делах, относятся к информации ограниченного доступа (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации,- к сведениям, составляющим государственную тайну.

17. Трудовые книжки работников хранятся в сейфе отдела кадров, доступ к которому имеют руководитель, заместитель генерального директора по работе с персоналом, начальник отдела кадров и сотрудник отдела, отвечающий за ведение трудовых книжек. Хранение трудовых книжек работников осуществляется в соответствии с нормативно-правовыми актами о порядке ведения и хранения трудовых книжек.

18. К личному делу работника приобщаются:

а) письменное заявление с просьбой о поступлении на работу;

б) собственноручно заполненная и подписанная гражданином Российской Федерации анкета установленной формы с приложением фотографии;

в) документы о прохождении аттестации;

г) копия паспорта и копии свидетельств о государственной регистрации актов гражданского состояния;

д) копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы;

е) копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);

ж) копии решений о награждении государственными наградами, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);

з) копия приказа о приеме на работу;

и) экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор;

к) копии приказов о переводе работника на другую должность, о временном замещении им иной должности;

л) копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

м) копия приказа о прекращении трудового договора;

н) копии приказов о поощрении работника, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;

о) документы, связанные с оформлением допуска к сведениям, составляющим охраняемую законом тайну, если исполнение обязанностей по должности связано с использованием таких сведений;

п) копия страхового свидетельства обязательного пенсионного страхования;

р) копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

с) копия страхового медицинского полиса обязательного медицинского страхования граждан.

19. В личное дело вносятся также письменные объяснения работника, если такие объяснения даны им после ознакомления с документами своего личного дела.

К личному делу работника приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.

20. Документы, приобщенные к личному делу работника, брошюруются, страницы нумеруются, к личному делу прилагается опись.

21. В обязанности отдела кадров, осуществляющего ведение личных дел работников, входит:

а) приобщение документов к личным делам работников;

б) обеспечение сохранности личных дел работников;

в) обеспечение конфиденциальности сведений, содержащихся в личных делах работников, в соответствии с федеральными законами, иными нормативными правовыми актами Российской Федерации, а также в соответствии с настоящим Положением;

г) ознакомление работника с документами своего личного дела не реже одного раза в год, а также по просьбе работника и во всех иных случаях, предусмотренных законодательством Российской Федерации.

22. Работники, уполномоченные на ведение и хранение личных дел, могут привлекаться в соответствии с законодательством Российской Федерации к дисциплинарной и иной ответственности за разглашение информации ограниченного доступа, содержащейся, содержащихся в указанных личных делах, а также за иные нарушения порядка ведения личных дел, установленного настоящим Положением.

23. При переводе работника на должность в другом обособленном структурном подразделении его личное дело передается по новому месту работы.

24. Личные дела работников, уволенных с гражданской службы, передаются в архив.

"Кадровик. Кадровое делопроизводство", N 12, декабрь 2012 г.