Приказом ГП ПО «Псковавтотранс» № 132а-15 от 08.10.2015 г. СОГЛАСОВАНО

УТВЕРЖДЕНО
Приказом ГП ПО «Псковавтотранс»
№ 132а-15 от 08.10.2015 г.
СОГЛАСОВАНО
Председатель Профкома
ГП ПО «Псковавтотранс»
____________М.Т. Магерамов
«___»___________2015 г.
ПОЛОЖЕНИЕ
о защите персональных данных
работников ГП ПО «Псковавтотранс»
1. Общие положения
1.1. Положение о защите персональных данных работников ГП ПО
«Псковавтотранс» (далее — Положение) является локальным нормативным
актом ГП ПО «Псковавтотранс» (далее — Предприятие), определяющим
порядок получения, хранения, комбинирования, передачи и любого другого
использования персональных данных работников Предприятия, а также
гарантии по их защите.
1.2. Положение
разработано в соответствии со следующими
законодательными актами:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и защите информации»;
- постановлением Правительства Российской Федерации от 17.11.2007
№ 781 «Об утверждении Положения об обеспечении безопасности
персональных данных при их обработке в информационных системах передачи
данных»;
- постановлением Правительства Российской Федерации от 15.09.2008
№ 687 «Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации»;
1.3. Настоящее Положение распространяется на лиц, осуществляющих
трудовую деятельность на Предприятии на основании заключенных трудовых
договоров (далее — работники).
1.4. Персональные данные работника - любая информация, относящаяся
к конкретному работнику (субъекту персональных данных) и необходимая
Предприятию в связи с трудовыми отношениями.
1.5. Персональные данные работников являются конфиденциальной
информацией (информацией, составляющей охраняемую законом тайну).
Учитывая их массовость и единое место обработки и хранения —
соответствующий гриф ограничения на них не ставится.
Режим конфиденциальности в отношении персональных данных
снимается:
в случае их обезличивания;
по истечении 75 лет срока их хранения;
в других случаях, предусмотренных федеральными законами.
1.6. Настоящее Положение и все последующие изменения к нему
утверждаются приказом Предприятия.
1.7. Все работники Предприятия должны быть ознакомлены под роспись с
настоящим Положением и в случае внесения изменений в Положение, должны
быть ознакомлены с указанными изменениями.
2. Состав персональных данных работника
2.1. В состав персональных данных работника, которые могут
обрабатываться на Предприятии входят:
- фамилия, имя, отчество работника;
- дата и место рождения работника;
- паспортные данные, индивидуальный номер налогоплательщика (ИНН),
номер страхового свидетельства обязательного пенсионного страхования,
медицинского полиса;
- адрес места жительства (регистрации) работника;
- домашний, мобильный телефонные номера;
- сведения об актах гражданского состояния (семейное положение, наличие
детей);
- сведения об образовании, профессии, специальности, квалификации, о
занимаемой должности работника;
- сведения о трудовом и общем стаже;
- сведения о воинском учете;
- сведения о наличии региональных и государственных наград и знаков
отличия;
- состояние здоровья, группа инвалидности, результаты медицинского
обследования на предмет годности к осуществлению трудовых обязанностей;
2.2. Из указанного в пункте 2.1. настоящего Положения списка
работодатель вправе получать и использовать только те сведения, которые
характеризуют гражданина как сторону трудового договора.
2.3. Документы, в которых содержатся персональные данные работников
и которые необходимы работодателю в связи с исполнением им обязательств,
предусмотренных трудовым законодательством и трудовым договором:
- паспорт работника (иной документ, удостоверяющий личность). Здесь
содержатся сведения о фамилии, имени, отчестве, дате рождения, адресе
регистрации, семейном положении, составе семьи работника, а также
реквизиты этого документа;
- анкета, характеристика, представление, автобиография, заполняемая
работниками при приеме на работу. В этих документах могут содержаться
анкетные и биографические данные работника такие как, предыдущая трудовая
деятельность, переводы, увольнение, наличие административных наказаний,
служба в армии, работа на выборных должностях, на государственной службе;
- личная карточка работника, в которой указываются фамилия, имя,
отчество работника, место его рождения, состав семьи, образование, а также
данные документа, удостоверяющего личность;
- трудовая книжка, в которой содержатся сведения о трудовом стаже,
предыдущих местах работы;
- приказы по личному составу, содержащие информацию о приеме,
переводе, увольнении и иных событиях, относящихся к трудовой деятельности
работника;
- страховое свидетельство государственного пенсионного страхования и
свидетельство о присвоении ИНН. Нужны работодателю для уплаты за
работника соответствующих взносов;
- копии документов, свидетельств о заключении брака, рождении детей.
Такие документы содержат сведения о составе семьи, которые могут
понадобиться работодателю для предоставления работнику определенных
льгот, предусмотренных трудовым и налоговым законодательством;
- справка о доходах с предыдущего места работы. Нужна работодателю для
предоставления работнику определенных льгот и компенсаций в соответствии с
налоговым законодательством;
- трудовой договор; В нем содержатся сведения о должности работника,
заработной плате, месте работы, рабочем месте, а также иные персональные
данные работника;
- отчеты, аналитические и справочные материалы, передаваемые в
государственные органы статистики, налоговые инспекции, другие учреждения
и государственные органы;
- документ об образовании, о квалификации или наличии специальных
знаний, документы подтверждающие повышение квалификации, материалы
аттестационных комиссий. Необходимо при поступлении на работу, требующую
специальных знаний или специальной подготовки. Указанные документы
подтверждают квалификацию работника, обосновывают занятие определенной
должности;
- документы воинского учета - для лиц, подлежащих воинскому учету.
Содержат информацию об отношении работника к воинской обязанности и
необходимы работодателю для осуществления в организации воинского учета
работников;
2.4. При оформлении работника заполняется унифицированная форма Т-2
"Личная карточка работника", в которой отражаются следующие анкетные и
биографические данные работника:
- общие сведения (Ф.И.О., дата рождения, место рождения, гражданство,
образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
- сведения об аттестации;
- сведения о повышенной квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и о контактных телефонах.
2.5. Информация, представляемая работником при поступлении на работу
на Предприятие, должна иметь документальную форму. Работник обязан
предоставить подлинник и/или копию (если невозможно предоставить
оригинал) документа.
2.6. Документы, содержащие персональные данные работников создаются,
обрабатываются и хранятся в единичном или сводном виде в Службе правового
обеспечения, кадров и делопроизводства Предприятия.
2.7. Ксерокопии документов, представленные работником работодателю в
процессе трудовой деятельности, возвращаются работнику при его увольнении.
3. Обработка персональных данных работников
3.1. Под обработкой персональных данных работника понимается
получение, хранение, комбинирование, передача или любое другое
использование персональных данных работника (ст. 85 Трудового кодекса РФ)
3.2. Источником информации обо всех персональных данных работника
является непосредственно работник. Если персональные данные возможно
получить только у третьей стороны, то работник должен быть заранее в
письменной форме уведомлен об этом и от него должно быть получено
письменное согласие. Работодатель обязан сообщить работнику о целях,
предполагаемых источниках и способах получения персональных данных, а
также о последствиях отказа работника дать письменное согласие на их
получение.
3.3. Персональные данные работников могут быть получены, проходить
дальнейшую обработку и передаваться на хранение, как на бумажных
носителях, так и в электронном виде на автоматизированном рабочем месте с
закрытым доступом в общую информационную систему Предприятия
(локальную сеть).
3.4. Работодатель не имеет права получать и обрабатывать персональные
данные работника о его расовой, национальной принадлежности, политических
взглядах, религиозных и философских убеждениях, состоянии здоровья и
частной жизни. В случаях, непосредственно связанных с вопросами трудовых
отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе
получать и обрабатывать данные о частной жизни работника только с его
письменного согласия.
3.5. Работодатель не имеет права получать и обрабатывать персональные
данные работника о его членстве в общественных объединениях или его
профсоюзной деятельности, за исключением случаев, предусмотренных
федеральными законами.
3.6. Работодатель вправе обрабатывать персональные данные работников с
их письменного согласия, данного по форме, согласно приложению № 1 к
настоящему Положению.
3.7. Письменное согласие работника на обработку своих персональных
данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер
основного документа, удостоверяющего его личность, сведения о дате выдачи
указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего
согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие
субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых
дается согласие, общее описание используемых оператором способов обработки
персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
3.8. Согласие на обработку персональных данных может быть отозвано
работником в любое время. В случае отзыва работником согласия на обработку
его персональных данных, работодатель вправе продолжить обработку без
согласия работника при наличии законодательно установленных оснований
(п. 2 ст. 9 Федерального закона «О персональных данных»).
Отзыв согласия на обработку персональных данных подписывается
работником по форме, согласно приложения № 2 к настоящему Положению.
3.9.
Обработка персональных данных работников работодателем
возможна без согласия работника в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового
кодекса РФ или иных федеральных законов (о пенсиях, социальной помощи и
т.д.), устанавливающих ее цель, условия получения персональных данных и
круг субъектов, персональные данные которых подлежат обработке, а также
определенного полномочия работодателя;
- обработка персональных данных осуществляется в целях исполнения
трудового договора, стороной которого является
работник (субъект
персональных данных);
- в случае если персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, и их
обработка необходима для защиты его жизни, здоровья или иных жизненно
важных интересов других лиц и получение согласия работника невозможно;
- по требованию полномочных государственных органов - в случаях,
предусмотренных федеральным законом.
- обработка персональных данных осуществляется для статистических или
иных научных целей при условии обязательного обезличивания персональных
данных.
3.10. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод
человека и гражданина руководитель Предприятия и его законные,
полномочные представители при обработке персональных данных работника
должны выполнять следующие общие требования:
- обработка персональных данных может осуществляться исключительно в
целях обеспечения соблюдения законов или иных правовых актов, содействия
работникам в трудоустройстве, обучении и профессиональном продвижении,
обеспечения личной безопасности работников, контроля количества и качества
выполняемой работы и обеспечения сохранности имущества.
- при определении объема и содержания, обрабатываемых персональных
данных работодатель должен руководствоваться Конституцией РФ, Трудовым
кодексом РФ и иными федеральными законами.
- при принятии решений, затрагивающих интересы работника, работодатель
не имеет права основываться на персональных данных, полученных о нем
исключительно в результате их автоматизированной обработки или
электронного получения.
- работники и их представители должны быть ознакомлены под расписку с
документами
Предприятия,
устанавливающими
порядок
обработки
персональных данных, а также об их правах и обязанностях в этой области.
3.11. Хранение персональных данных должно происходить в порядке,
исключающем их утрату или их неправомерное использование.
3.12. Работодатель вправе передавать персональные данные работников с
их письменного согласия, данного по форме, согласно приложению № 3 к
настоящему Положению.
3.13. При передаче персональных данных работника работодатель должен
соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне (в том
числе родственникам и членам семьи) без письменного согласия работника, за
исключением случаев, когда это необходимо в целях предупреждения угрозы
жизни и здоровью работника, а также в случаях, установленных федеральным
законом.
- не сообщать персональные данные работника в коммерческих целях без
его письменного согласия.
- предупредить лиц, получивших персональные данные работника, о том,
что эти данные могут быть использованы лишь в целях, для которых они
сообщены, и требовать от этих лиц подтверждение того, что это правило
соблюдено. Лица, получившие персональные данные работника, обязаны
соблюдать
режим
конфиденциальности.
Данное
Положение
не
распространяется на обмен персональными данными работников в порядке,
установленном федеральными законами.
- осуществлять передачу персональных данных работников в пределах
Предприятия в соответствии с настоящим Положением.
- разрешать доступ к персональным данным работников только специально
уполномоченным лицам. Перечень лиц, имеющих доступ к персональным
данным работника, определяется приказом Предприятия, при этом указанные
лица должны иметь право получать только те персональные данные, которые
необходимы для выполнения конкретной функции.
- не запрашивать информацию о состоянии здоровья работника, за
исключением тех сведений, которые относятся к вопросу о возможности
выполнения работником трудовой функции.
- передавать персональные данные работника его законным, полномочным
представителям в порядке, установленном Трудовым кодексом РФ, и
ограничивать эту информацию только теми персональными данными, которые
необходимы для выполнения указанными представителями их функции.
4. Защита персональных данных
4.1.
Защита
персональных
данных
представляет
собой
регламентированный технологический процесс, предупреждающий нарушение
установленного порядка доступности, целостности, достоверности и
конфиденциальности персональных данных и обеспечивающий безопасность
информации в процессе управленческой и производственной деятельности
Предприятия.
4.2. Защита персональных данных работника от неправомерного их
использования, утраты обеспечивается работодателем за счет его средств в
порядке, установленном федеральным законом.
4.3. Для обеспечения защиты персональных данных работодатель должен
принять следующие меры:
- определить структурное подразделение ответственное за обработку
персональных данных работников;
- ограничить состав работников Предприятия, функциональные
обязанности которых требуют владение информацией о персональных данных
работников;
вести учет персональных данных, их выдачи самим работникам и
передачи другим
лицам,
представителям различных
организаций,
государственным органам;
- установить особый режим доступа в те помещения, где хранятся
персональные данные и особый порядок приема, учета и контроля деятельности
посетителей;
- использовать технические средства охраны;
- предоставить отдельное компьютеризированное рабочее место работнику,
непосредственно осуществляющему обработку персональных данных, а также
обеспечить необходимые условия в помещении для работы с персональными
данными (наличие сейфов и др.);
- организовать программную автоматизированную защиту персональных
данных, так например, все папки и файлы, содержащие персональные данные
работника должны быть защищены паролем и т.д.
- включить в трудовые договоры работников условие о недопустимости
разглашения
и передачи третьим лицам персональных данных других
работников, которые могут стать им известны в связи с выполнением ими своих
трудовых обязанностей.
4.4. Все лица, связанные с обработкой и защитой персональных данных
обязаны подписать обязательства о неразглашении персональных данных
работника, форма которого утверждается приказом Предприятия.
Обязательство о неразглашении персональных данных подписываются
указанными работниками по форме, согласно приложению № 4 к настоящему
Положению.
4.5. В целях учета персональных данных работников Службой правового
обеспечения, кадров и делопроизводства ведутся журналы учета персональных
данных, их выдачи и передачи другим лицам и представителям различных
организаций, государственным органам.
4.6. В журнале учета внутреннего доступа к персональным данным
(доступа работников Предприятия к персональным данным других работников)
следует указывать такие сведения, как дата выдачи и возврата документов
(личных дел), срок пользования, цели выдачи, наименование выдаваемых
документов (личных дел). Лицо, которое возвращает документ (дело), должно
обязательно присутствовать при проверке наличия всех имеющихся
документов по описи, если выданные документы составлены более чем на
одном листе.
Лицо, которое получает личное дело другого работника во временное
пользование, не имеет права делать в нем какие-либо пометки, исправления,
вносить новые записи, извлекать документы из личного дела или помещать в
него новые.
4.7.
В журнале учета выдачи персональных данных работников
организациям и государственным органам необходимо регистрировать
поступающие запросы, а также фиксировать сведения о лице, направившем
запрос, дату передачи персональных данных или уведомления об отказе в их
предоставлении и отмечать, какая именно информация была передана.
4.8. Копировать и делать выписки персональных данных работника
разрешается исключительно в служебных целях с письменного разрешения
руководителя службы правового обеспечения, кадров и делопроизводства.
5. Права и обязанности работников
5.1. Работник Предприятия имеет право:
- получать доступ к своим персональным данным и ознакамливаться с
ними, включая право на безвозмездное получение копии любой записи,
содержащей его персональные данные;
- требовать от работодателя уточнения, исключения или исправления
неполных, неверных, устаревших, недостоверных, незаконно полученных или
не являющихся необходимыми для работодателя персональных данных;
- дополнять заявлением, выражающим его собственную точку зрения,
персональные данные оценочного характера (анкеты, характеристики,
представления);
- получать справки о трудовом стаже, размере заработной платы, сведения
о наличии наград Предприятия, региональных и государственных наград и
других знаках отличия и иные сведения для предоставления их в пенсионный
фонд, страховые компании, кредитные учреждения и иные организации;
- обжаловать в уполномоченный орган по защите прав субъектов
персональных данных или в судебном порядке неправомерные действия или
бездействия работодателя при обработке и защите его персональных данных.
5.2. Все сведения, справки, копии и выписки из документов, содержащих
персональные данные, работник получает на основании его личного
письменного заявления.
5.3. Не допускается выдача документов (личных дел) на рабочие места
работников. Ознакамливаться с документами, содержащими его персональные
данные работник вправе только в том помещении, где указанные документы
хранятся (в Службе правового обеспечения, кадров и делопроизводства).
5.4. Работник обязан при поступлении на работу предоставлять
Работодателю достоверные сведения о себе, а в случае их изменения в
недельный срок обязан сообщать обо всех изменениях в своих персональных
данных.
5.5. Работник обязан лично предоставлять в службу правового обеспечения
кадров и делопроизводства документы, содержащие его персональные данные и
их копии. В случае предоставления указанных документов и их копий иными
способами Работодатель не несет ответственности за их утерю или разглашение
сведений.
5.6. Во всех случаях отказ работника от своих прав на сохранение и
защиту тайны недействителен.
6. Ответственность за нарушение норм, регулирующих
обработку персональных данных
6.1. Персональные данные относятся к сведениям, которые охраняются
федеральным законом. Неправомерное разглашение персональных данных
может повлечь дисциплинарную, административную, гражданско-правовую
или уголовную ответственность.
6.2. Работодатель, как юридическое лицо может быть привлечен к
административной ответственности за нарушение порядка сбора, хранения,
использования или распространения персональных данных, в соответствии со
ст. 13.11 КоАП РФ.
6.3. Руководитель Предприятия за нарушение порядка обращения с
персональными данными несет административную ответственность согласно
ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный
неправомерным использованием информации, содержащей персональные
данные об этом работнике.
6.4. Руководитель, разрешающий доступ работника к конфиденциальному
документу несет персональную ответственность за данное решение.
6.5. Работники Предприятия, виновные в нарушении порядка обращения с
персональными данными, несут дисциплинарную, административную,
гражданско-правовую или уголовную ответственность в соответствии с
федеральными законами.
6.6. Работники Предприятия, имеющие доступ к персональным данным
других работников за нарушение правил хранения, обработки и использования
информации о персональных данных могут быть привлечены к
дисциплинарной ответственности. Согласно подпункту "в" п. 6 ч. 1 ст. 81
Трудового Кодекса РФ трудовой договор с работником может быть расторгнут
по причине разглашения охраняемой законом тайны, ставшей известной
работнику в связи с исполнением им трудовых обязанностей, в том числе по
причине разглашения персональных данных другого работника.
6.7. Каждый работник Предприятия, получающий документ, содержащий
персональные данные, несет единоличную ответственность за сохранность
документа и конфиденциальность информации.