УТВЕРЖДЕНО
Приказом НЦЧ РАН
от 28.12.2016 г. №  206-к  

                                                                                                



ПОЛОЖЕНИЕ
об обработке персональных данных работников
Федерального государственного бюджетного учреждения науки
Научный центр Российской академии наук в Черноголовке
(НЦЧ РАН)


1.    Общие положения

1.1.    Целью Положения об обработке персональных данных работников (далее – Положение) является защита персональных данных работников Федерального государственного бюджетного учреждения науки Научный центр Российской академии наук в Черноголовке  (далее – НЦЧ РАН) от несанкционированного доступа, неправомерного их использования или утраты, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.2.    Положение разработано в соответствии со статьями 85-90 Трудового Кодекса Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка НЦЧ РАН.
1.3.    Положение вступает в силу с момента утверждения и действует бессрочно, до замены его новым положением.
1.4.    Все изменения в Положения вносятся приказами НЦЧ РАН.
1.5.    Все работники НЦЧ РАН должны быть ознакомлены с настоящим Положением под подпись.

2.    Основные понятия

2.1.    Для целей настоящего Положения используются следующие основные понятия:
−    персональные данные работника – любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
−    обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Общества;
−    конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения  без согласия работника или иного законного основания;
−    распространение персональных данных – действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;
−    использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом НЦЧ РАН в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
−    блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
−    уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
−    обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
−    общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
−    информация – сведения (сообщения, данные) независимо от формы их представления;
−    документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

3.    Состав персональных данных работников

3.1.    В состав персональных данных работников НЦЧ РАН входят:
−    анкетные и биографические данные;
−    образование;
−    сведения о трудовом и общем стаже;
−    сведения о составе семьи;
−    паспортные данные;
−    сведения о воинском учете;
−    сведения о заработной плате;
−    сведения о социальных льготах;
−    специальность,
−    занимаемая должность;
−    наличие судимостей;
−    адрес места жительства;
−    домашний телефон;
−    место работы или учебы членов семьи и родственников;
−    содержание трудового договора;
−    подлинники и копии приказов по личному составу;
−    личные дела и трудовые книжки сотрудников;
−    основания к приказам по личному составу;
−    дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
−    копии отчетов, направляемые в органы статистики.
3.2.    Данные документы являются конфиденциальными, при этом, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.


4.    Обработка персональных данных

4.1.    В целях обеспечения прав и свобод работника НЦЧ РАН и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
4.1.1.    Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.1.2.    При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.
4.1.3.    Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
4.1.4.    Персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.1.5.    Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только  с его письменного согласия.
4.1.6.    Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
4.2.    Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, специалист по кадрам общего отдела, специалисты отдела бухгалтерии, инженер-программист. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.
4.3.    Использование персональных данных возможно только в соответствии с целями, определившими их получение.
4.3.1.    Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
4.4.    Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
4.4.1.    При передаче персональных данных работника работодатель должен соблюдать следующие требования:
−    не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
−    не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
−    предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
−    разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
−    не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
−    передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
4.4.2.    Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
4.4.3.    При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
4.5.    Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.6.    Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
4.7.    Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.8.    При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.


5.    Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в НЦЧ РАН при его приеме, переводе и увольнении

5.1.    Информация, представляемая работником при поступлении на работу в НЦЧ РАН, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
−     паспорт гражданина Российской Федерации;
−    трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
−    страховое свидетельство государственного пенсионного страхования;
−    документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
−    документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
−    свидетельство о присвоении ИНН.
5.2.    При оформлении работника в НЦЧ РАН специалистом по кадрам общего отдела заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
−    общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
−    сведения о воинском учете;
−    данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
−    сведения о переводах на другую работу;
−    сведения об аттестации;
−    сведения о повышении квалификации;
−    сведения о профессиональной переподготовке;
−    сведения о наградах (поощрениях), почетных званиях;
−    сведения об отпусках;
−    сведения о социальных гарантиях;
−    сведения о месте жительства и контактных телефонах.
5.3.    В общем отделе НЦЧ РАН создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
5.3.1.    Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству НЦЧ РАН, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);
5.3.2.    Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства НЦЧ РАН); документы по планированию, учету, анализу и отчетности в части работы с персоналом НЦЧ РАН.

6.    Доступ к персональным данным

6.1.    Внутренний доступ (доступ внутри НЦЧ РАН).
6.1.1.    Право доступа к персональным данным сотрудника имеют:
−    Председатель НЦЧ РАН;
−    Заместитель Председателя НЦЧ РАН;
−    Сотрудники общего отдела (начальник отдела, специалист по кадрам);
−    Сотрудники бухгалтерии (главный бухгалтер, ведущий бухгалтер)
−    руководители подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
−    при переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения;
−    сам работник, носитель данных;
−    другие сотрудники организации при выполнении ими своих служебных обязанностей.
6.1.2.    Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом председателя или заместителя председателя НЦЧ РАН.

6.2.    Внешний доступ.
6.2.1.    К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
−    налоговые инспекции;
−    правоохранительные органы;
−    органы статистики;
−    военкоматы;
−    органы социального страхования;
−    пенсионные фонды;
−    подразделения муниципальных органов управления;
6.2.2.    Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
6.2.3.    Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
6.2.4.    Сведения о работающем сотруднике или уже уволенном могут быть представлены другой  организацией только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
6.2.5.    Персональные данные сотрудника могут быть представлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.
6.2.6.    В случае развода бывшая супруга (супруг) имеют право обратиться в НЦЧ РАН с письменным запросом о размере заработной платы сотрудника без его согласия (УК РФ).



7.    Защита персональных данных

7.1.    Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
7.2.    Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена НЦЧ РАН за счет его средств в порядке, установленном федеральным законом.
7.3.    Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать ряд мер:
−    ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к персональным данным сотрудников.
−    рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
−    знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
−    наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
−    не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только председателю НЦЧ РАН или заместителю председателя НЦЧ РАН.
7.4.    Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны не разглашать персональные данные работников.



8.    Права и обязанности работника

8.1.    Работники должны быть ознакомлены под расписку с документами НЦЧ РАН, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
8.2.    В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:
−    требовать исключения или исправления неверных или неполных данных;
−    получать свободный бесплатный доступ к своим персональным данным;
−    определять своих представителей для защиты своих персональных данных;
−    на сохранение и защиту своей личной жизни и семейной тайны.
8.3.    Работник обязан передавать НЦЧ РАН комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым Кодексом РФ, а также своевременно сообщать об изменениях своих персональных данных.
8.4.    Работники ставят НЦЧ РАН в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

9.    Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

9.1.    Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
9.2.    Каждый сотрудник НЦЧ РАН, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3.    Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.