УТВЕРЖДЕНО
Приказом НЦЧ РАН
от 28.12.2016 г. № 206-к
ПОЛОЖЕНИЕ
об обработке персональных данных работников
Федерального государственного бюджетного учреждения науки
Научный центр Российской академии наук в Черноголовке
(НЦЧ РАН)
1. Общие положения
1.1. Целью Положения об обработке персональных данных работников (далее – Положение) является защита персональных данных работников Федерального государственного бюджетного учреждения науки Научный центр Российской академии наук в Черноголовке (далее – НЦЧ РАН) от несанкционированного доступа, неправомерного их использования или утраты, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.2. Положение разработано в соответствии со статьями 85-90 Трудового Кодекса Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка НЦЧ РАН.
1.3. Положение вступает в силу с момента утверждения и действует бессрочно, до замены его новым положением.
1.4. Все изменения в Положения вносятся приказами НЦЧ РАН.
1.5. Все работники НЦЧ РАН должны быть ознакомлены с настоящим Положением под подпись.
2. Основные понятия
2.1. Для целей настоящего Положения используются следующие основные понятия:
− персональные данные работника – любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
− обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Общества;
− конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
− распространение персональных данных – действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;
− использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом НЦЧ РАН в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
− блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
− уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
− обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
− общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
− информация – сведения (сообщения, данные) независимо от формы их представления;
− документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3. Состав персональных данных работников
3.1. В состав персональных данных работников НЦЧ РАН входят:
− анкетные и биографические данные;
− образование;
− сведения о трудовом и общем стаже;
− сведения о составе семьи;
− паспортные данные;
− сведения о воинском учете;
− сведения о заработной плате;
− сведения о социальных льготах;
− специальность,
− занимаемая должность;
− наличие судимостей;
− адрес места жительства;
− домашний телефон;
− место работы или учебы членов семьи и родственников;
− содержание трудового договора;
− подлинники и копии приказов по личному составу;
− личные дела и трудовые книжки сотрудников;
− основания к приказам по личному составу;
− дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
− копии отчетов, направляемые в органы статистики.
3.2. Данные документы являются конфиденциальными, при этом, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
4. Обработка персональных данных
4.1. В целях обеспечения прав и свобод работника НЦЧ РАН и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
4.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.
4.1.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
4.1.4. Персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
4.1.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
4.2. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, специалист по кадрам общего отдела, специалисты отдела бухгалтерии, инженер-программист. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.
4.3. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
4.3.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
4.4. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
4.4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
− не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
− не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
− предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
− разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
− не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
− передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
4.4.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
4.4.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
4.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
4.7. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.8. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.
5. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в НЦЧ РАН при его приеме, переводе и увольнении
5.1. Информация, представляемая работником при поступлении на работу в НЦЧ РАН, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
− паспорт гражданина Российской Федерации;
− трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
− страховое свидетельство государственного пенсионного страхования;
− документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
− документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
− свидетельство о присвоении ИНН.
5.2. При оформлении работника в НЦЧ РАН специалистом по кадрам общего отдела заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
− общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
− сведения о воинском учете;
− данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
− сведения о переводах на другую работу;
− сведения об аттестации;
− сведения о повышении квалификации;
− сведения о профессиональной переподготовке;
− сведения о наградах (поощрениях), почетных званиях;
− сведения об отпусках;
− сведения о социальных гарантиях;
− сведения о месте жительства и контактных телефонах.
5.3. В общем отделе НЦЧ РАН создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
5.3.1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству НЦЧ РАН, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);
5.3.2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства НЦЧ РАН); документы по планированию, учету, анализу и отчетности в части работы с персоналом НЦЧ РАН.
6. Доступ к персональным данным
6.1. Внутренний доступ (доступ внутри НЦЧ РАН).
6.1.1. Право доступа к персональным данным сотрудника имеют:
− Председатель НЦЧ РАН;
− Заместитель Председателя НЦЧ РАН;
− Сотрудники общего отдела (начальник отдела, специалист по кадрам);
− Сотрудники бухгалтерии (главный бухгалтер, ведущий бухгалтер)
− руководители подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
− при переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения;
− сам работник, носитель данных;
− другие сотрудники организации при выполнении ими своих служебных обязанностей.
6.1.2. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом председателя или заместителя председателя НЦЧ РАН.
6.2. Внешний доступ.
6.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
− налоговые инспекции;
− правоохранительные органы;
− органы статистики;
− военкоматы;
− органы социального страхования;
− пенсионные фонды;
− подразделения муниципальных органов управления;
6.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
6.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
6.2.4. Сведения о работающем сотруднике или уже уволенном могут быть представлены другой организацией только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
6.2.5. Персональные данные сотрудника могут быть представлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.
6.2.6. В случае развода бывшая супруга (супруг) имеют право обратиться в НЦЧ РАН с письменным запросом о размере заработной платы сотрудника без его согласия (УК РФ).
7. Защита персональных данных
7.1. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
7.2. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена НЦЧ РАН за счет его средств в порядке, установленном федеральным законом.
7.3. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать ряд мер:
− ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к персональным данным сотрудников.
− рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
− знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
− наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
− не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только председателю НЦЧ РАН или заместителю председателя НЦЧ РАН.
7.4. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны не разглашать персональные данные работников.
8. Права и обязанности работника
8.1. Работники должны быть ознакомлены под расписку с документами НЦЧ РАН, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
8.2. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:
− требовать исключения или исправления неверных или неполных данных;
− получать свободный бесплатный доступ к своим персональным данным;
− определять своих представителей для защиты своих персональных данных;
− на сохранение и защиту своей личной жизни и семейной тайны.
8.3. Работник обязан передавать НЦЧ РАН комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым Кодексом РФ, а также своевременно сообщать об изменениях своих персональных данных.
8.4. Работники ставят НЦЧ РАН в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.
9. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
9.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
9.2. Каждый сотрудник НЦЧ РАН, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.