Положение о работе с персональными данными работников

10 ноя Положение о работе с персональными данными работников

Акционерное общество «КРЫММОРГИДРОСТРОЙ» (АО «КРЫММОРГИДРОСТРОЙ»)  г. Севастополь		«УТВЕРЖДАЮ» Генеральный директорАО «КРЫММОРГИДРОСТРОЙ» __________ С.И. Курдюков 12.09.2022 г.
ПОЛОЖЕНИЕ о работе с персональными данными работников

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации и предусматривает порядок, условия получения, обработки, хранения, передачи и защиты персональных данных работников (далее – «Работник» или «Работники») Акционерного общества «КРЫММОРГИДРОСТРОЙ» (далее – «Общество» или «Работодатель»).

1.2. Основой для разработки настоящего Положения послужили ст.ст. 86-90 Трудового кодекса РФ, Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – «Закон № 152-ФЗ»), ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

1.3. Обработка персональных данных Работников Общества допускается в случаях, предусмотренных п. 5 и п. 11 ч. 1 ст. 6 Закона № 152-ФЗ и не требует специального согласия Работников.

1.4. В связи с тем, что обработка персональных данных Работников Общества осуществляется, в соответствии с п. 2 ст. 22 Закона № 152-ФЗ и персональные данные не распространяются, а также не предоставляются третьим лицам без согласия Работника (форма данного согласия Работника включена в Приложение №1 к настоящему Положению), а используются исключительно в целях исполнения трудового договора уведомление уполномоченного органа по защите прав Работников персональных данных не требуется.

1.5. Настоящее Положение и изменения к нему утверждаются генеральным директором АО «КРЫММОРГИДРОСТРОЙ» и вводятся приказом. Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.

1.5. Настоящее Положение вступает в силу с 12.09.2022 года и действует бессрочно до замены его новым утвержденным Положением.

 

2. Термины и состав персональных данных Работника

2.1 В контексте настоящего Положения применяются следующие термины.

2.1.1. Персональные данные Работника – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), далее – Работник.

2.1.2. Обработка персональных данных Работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.1.3. Предоставление персональных данных — действия, направленные на раскрытие персональных данных Работников определенному лицу или определенному кругу лиц.

2.1.4. Распространение персональных данных — действия, направленные на раскрытие персональных данных Работников неопределенному кругу лиц.

2.1.5. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Работнику.

2.1.6. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.1.7. Общедоступные данные – данные, полученные из общедоступных источников персональных данных, куда с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

2.1.8. Информационная система персональных данных, система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных.

2.2. К персональным данным Работника относится:

— фамилия, имя, отчество;

-пол, год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности Работника;

-биографические данные;

-данные о семейном, социальном и имущественном положении;

-сведения о социальных льготах;

-данные об образовании Работника, наличии специальных знаний или подготовки;

-данные о профессии, специальности Работника;

-данные о предыдущем месте работы, опыте и занимаемой должности;

-характеристики и рекомендации;

-данные, содержащие материалы по повышению квалификации и переподготовке, аттестации Работника;

-информация о служебных расследованиях, судимостей Работника;

-сведения о доходах Работника;

-данные медицинского характера, в случаях, предусмотренных законодательством;

-результаты медицинских обследований на предмет годности к исполнению трудовой функции;

-данные о членах семьи Работника и наличии иждивенцев;

-данные о месте жительства, почтовый адрес, личный телефон Работника, а также членов его семьи;

-данные, содержащиеся в трудовой книжке, личном деле, СНИЛС, свидетельстве о постановке на налоговый учет, в документах воинского учета (при наличии);

-реквизиты полиса ОМС (при наличии);

-биометрические данные Работника, фотографии, видео и аудио записи;

-иные персональные данные, при определении содержания которых Общество руководствуется настоящим Положением и законодательством РФ.

2.3. Документы, содержащие персональные данные:

— копии документов, удостоверяющих личность;

— трудовая книжка;

— документы воинского учета;

— анкета, автобиография, личный листок по учету кадров, которые заполняются

Работником при приеме на работу;

— личная карточка №Т-2;

— свидетельство о заключении брака, свидетельство о рождении детей;

— справка о доходах с предыдущего места работы;

— документы об образовании;

— документы обязательного пенсионного страхования;

— трудовой договор;

— подлинники и копии приказов по личному составу;

— при необходимости — иные документы, содержащие персональные данные Работников (свидетельство о присвоении ИНН; документы о состоянии здоровья; справка, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям и т.п.

2.4. Сведения о персональных данных Работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества), в связи, с чем Общество обязано не раскрывать третьим лицам и не распространять персональные данные без согласия Работника персональных данных, если иное не предусмотрено федеральным законом. Режим конфиденциальности в отношении персональных данных снимается:

— в случае их обезличивания;

— по истечении 75 лет срока их хранения;

— в других случаях, предусмотренных федеральными законами.

 

3. Порядок получения и обработки персональных данных

3.1. Документы, содержащие персональные данные Работника, создаются путём: -копирования оригиналов;

-внесения сведений в учётные формы (на бумажных и электронных носителях); -получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, личный листок, медицинское заключение и т.п.).

3.2. Получение информации о персональных данных Работника:

3.2.1. Источником информации обо всех персональных данных Работника в большинстве случаев является непосредственно Работник;

3.2.2. Общедоступные персональные данные Работодатель может получить из источников, в которых их разместил Работник.

3.2.3. С письменного согласия Работника, возможно получение персональных данных Работника у третьей стороны. При этом Работник должен быть уведомлен о целях, предполагаемых источниках и способах получения персональных данных, а также о характере интересующих Работодателя персональных данных и последствиях отказа Работника дать письменное согласие на их получение. Форма данного согласия Работника включена в Приложение №1 к настоящему Положению.

3.2.4. Информация о состоянии здоровья Работника может запрашиваться только в отношении тех сведений, которые необходимы для решения вопроса о возможности выполнения Работником трудовой функции.

3.3. Работник обязан предоставлять Работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные Работником, с имеющимися у Работника документами.

3.4. Работодатель не имеет права получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции и Трудовым кодексом РФ работодатель вправе получать и обрабатывать данные о частной жизни Работника только с его письменного согласия.

3.5. Работодатель не имеет права получать и обрабатывать персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.6. Работодатель вправе обрабатывать персональные данные Работника являющиеся общедоступными, без его согласия.

3.7. Персональные данные Работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде в соответствии с п. 3 ст. 3 Закона № 152- ФЗ.

3.8. Документы, содержащие персональные данные Работников Общества, могут обрабатываться и храниться в:

— аппарате управления персоналом;

— бухгалтерии;

— филиалах Общества в месте оформления трудоустройства Работника.

3.9. Для защиты персональных данных в электронной форме в информационных системах Общества функции управления доступом, Положение о защите персональных данных работников регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений реализуются в соответствии с требованиями законодательства РФ.

3.10. Работник имеет право на получение информации, касающейся обработки его персональных данных, а также на получение копий документов, связанных с работой и их копий, в соответствии со ст. 62 ТК РФ.

3.11. Работник Общества, имеющий доступ к персональным данным Работников в связи с исполнением трудовых обязанностей:

-обеспечивает хранение информации, содержащей персональные данные Работника, исключающее доступ к ним третьих лиц;

-в свое отсутствие на рабочем месте не оставляет документов, содержащих персональные данные Работников;

-при уходе в отпуск или находясь в служебной командировке/поездке и иных случаях длительного отсутствия на своем рабочем месте, обязан передать документы и иные носители, содержащие персональные данные Работников лицу, на которое приказом или распоряжением Общества будет возложено исполнение его трудовых обязанностей. В случае, если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Работников передаются другому работнику, имеющему доступ к персональным данным Работников по указанию руководителя структурного подразделения.

-при увольнении из Общества обязан передать документы и иные носители, содержащие персональные данные Работников, другому работнику, имеющему доступ к персональным данным Работников по указанию руководителя структурного подразделения.

312. Согласие на обработку персональных данных может быть отозвано работником. В случае отзыва работником согласия на обработку персональных данных работодатель вправе продолжить обработку персональных данных без согласия работника при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006№ 152-ФЗ.

 

 

 

 

4. Обеспечение конфиденциальности персональных данных Работников

4.1. Внутренний доступ (доступ внутри Общества) к персональным данным Работника предоставлен Работникам Общества, которым эти данные необходимы для исполнения своих должностных обязанностей.

4.2. У Работников Общества находятся только личные дела и документы, содержащие персональные данные, необходимые для текущей работы.

4.3. Полный доступ к персональным данным Работника имеют:

— генеральный директор;

— главный бухгалтер;

— заместители директора и работники аппарата управления персоналом, в обязанности которых входит работа с персоналом;

— заместитель главного бухгалтера, начальник отдела по контролю и расчету с работниками, (ведущие) менеджеры и бухгалтеры по расчету з/платы;

— должностное лицо, осуществляющее руководство филиалами Общества к персональным данных, Работников таких филиалов;

4.4. Внутренний ограниченный доступ к персональным данным Работника имеют следующие работники в связи с выполнением ими своих трудовых обязанностей:

— работники бухгалтерии в связи с выполнением ими своих трудовых обязанностей;

— руководитель и работники организационного отдела юридического отдела и секретариата, специалисты по документообороту в связи с выполнением ими своих трудовых обязанностей;

4.5. Работники Общества, имеющие доступ к персональным данным Работников, имеют право получать только те персональные данные Работника, которые необходимы им для выполнения конкретных функций (внутренний ограниченный доступ к ПД).

4.6. В целях выполнения порученного задания доступ к персональным данным Работника может быть предоставлен иному работнику, должность которого не включена в перечень должностей работников, имеющих доступ к персональным данным Работников на основании предоставленного письменного согласия Работника на обработку его персональных данных и согласованного распорядительного документа.

4.7. Уполномоченные лица имеют право получать только те персональные данные Работника, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией. Все остальные Работники имеют право на получение полной информации только о своих персональных данных и их обработке.

4.8. Работники аппарата управления персоналом вправе передавать персональные данные Работника в структурные подразделения в случае необходимости исполнения ими трудовых обязанностей по запросу их непосредственного руководителя. При передаче персональных данных Работника, работники АУП предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

4.9. Внешний доступ (другие организации и граждане). Сообщение сведений о персональных данных Работников другим организациям и гражданам разрешается при наличии письменного согласия Работника и заявления подписанного генеральным директором Общества либо гражданином, запросившим такие сведения. Предоставление сведений о персональных данных Работников без соответствующего их согласия возможно в следующих случаях: -в целях предупреждения угрозы жизни и здоровью Работника; Положение о защите персональных данных работников

-при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;

-при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов, военкомата.

4.10. Работник, о котором запрашиваются сведения, должен быть уведомлен о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.

4.11. Запрещается передача персональных данных Работника в коммерческих целях без его согласия.

4.12. Не требуется согласие Работника на передачу его персональных данных в рамках исполнения требований федерального законодательства, в частности:

— в налоговую инспекцию;

— в Пенсионный фонд России;

— в Фонд социального страхования России;

— в военкомат;

— в иные органы государственной власти, имеющие полномочия запрашивать персональные данные в пределах полномочий, предоставленных им законодательством.

4.13. Согласие Работника на получение персональных данных от третьих лиц или на передачу их третьим лицам оформляется в соответствии с требованиями п. 4 ст. 9 Закона № 152-ФЗ.

4.14. Письменное согласие Работника Общества на передачу персональных данных третьим лицам является неотъемлемой частью трудового договора. Согласие Работника Общества на обработку персональных данных оформляется по форме, приведенной в Приложении № 1 к настоящему Положению.

4.15. В случае, если работодателю оказывают услуги юридические и физические лица, на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Работников Общества, то соответствующие данные предоставляются работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации и получения согласия субъекта персональных данных. В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о Положение о защите персональных данных работников неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных Работника, при наличии соответствующих пунктов и признании случая исключительным, персональные данные могут быть предоставлены стороне по такому договору.

4.17. Ответственность за соблюдение вышеуказанного порядка представления персональных данных Работника Общества несет работник, а также руководитель структурного подразделения, осуществляющего передачу персональных данных Работника третьим лицам.

 

5.Хранение персональных данных Работников

5.1. Хранение персональных данных Работников осуществляется следующим образом:

5.1.1. Персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем месте специалиста по кадровому делопроизводству, начальника отдела кадров.

5.1.2. Персональные данные, включённые в состав личных дел, хранятся в запираемом шкафу, установленном на рабочем месте специалиста по кадровому делопроизводству, начальника отдела кадров.

5.2. Трудовые книжки, документы воинского учёта, карточки формы Т-2 хранятся в запертом металлическом сейфе.

5.3. Доступ к электронным и бумажным носителям, содержащим персональные данные, строго ограничен кругом лиц, определённых в пункте 4.1, 4.3. настоящего Положения.

5.4. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства РФ от 15.09.2008 № 687.

5.5. При работе с документами, содержащими персональные данные, запрещается:

— хранить документы на открытых стеллажах, оставлять без присмотра;

— брать документы для работы и на хранение домой;

— выносить документы из подразделения без разрешения руководителя соответствующего подразделения;

— передавать документы на хранение лицам, не имеющим права доступа к данным документам.

5.6. При обработке персональных данных должно быть обеспечено:

— проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

— своевременное обнаружение фактов несанкционированного доступа к персональным данным;

— недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

— возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— контроль за обеспечением уровня защищенности персональных данных.

5.7. Работа с персональными данными Работников должностными лицами, не включенными в разрешительные документы, не допускается.

5.8. При обработке персональных данных защита обеспечивается разграничением прав доступа и системой паролей. Владельцам учётных записей запрещается передавать параметры авторизации (пароль к своему логину) кому-либо. Учётная запись уволенного или ушедшего в декрет Работника, подлежит блокировке. Неактивные в течение трёх месяцев учётные записи подлежат блокировке.

 

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.