Положения о персональных данных

Содержание

>Образец положения о персональных данных работников

Что такое персональных данные

Федеральный закон от 27.07.2006 №152-ФЗ определяет персональные данные как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:

  • ФИО;
  • дата рождения;
  • паспортные данные;
  • адрес регистрации и проживания;
  • ИНН;
  • номер СНИЛС;
  • информация об образовании и трудовом стаже.

Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

Для чего нужно положение о работе с персональными данными

Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

Структура положения о персональных данных

Составляя положение о защите персональных данных 2019, рекомендуется придерживаться следующей структуры:

Раздел
1 Основные положения Цели документа, законы, порядок утверждения
2 Основные понятия Определения понятий, упортребляемых в документе
3 Состав персональных данных работников Перечень личных сведений
4 Обработка данных Условия обработки информации
5 Комплекс документов Перечень документов, содержащих личные сведения
6 Доступ к персональным данным Порядок внешнего и внутреннего доступа к информации
7 Защита персональных данных Комплекс мер для обеспечения безопасности конфиденциальных сведений
8 Права и обязанности работника Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении
9 Ответственность за разглашение информации Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством

Как ввести в действие положение об обработке и защите персональных данных 2019

На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается приказом руководителя организации. Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ – ведение журнала ознакомления с локальными нормативными актами. При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

Образец положения о персональных данных 2019

Справка о трансграничной передаче персональных данных

Шаблоны документов для защиты персональных данных

Правила обработки персональных данных

Приказ об организации работ по обеспечению безопасности персональных данных

Приказ об утверждении организационно-распорядительных документов по защите персональных данных

Инструкция Администратора безопасности информационных систем персональных данных

Инструкция о порядке работы с персональными данными

Инструкция ответственного за организацию обработки персональных данных

Инструкция пользователя информационной системы персональных данных

Положение об обработке персональных данных с использованием средств автоматизации

Форма обязательство служащего <Предприятия>, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

Обязательство о неразглашении информации ограниченного доступа

Согласие на обработку персональных данных

Акт уничтожения персональных данных субъекта(ов) на электронных носителях

Акт уничтожения бумажных носителей персональных данных субъекта(ов) персональных данных

Приказ об утверждении мест хранения материальных носителей персональных данных

Приказ об утверждении списка должностных лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей

Политика обработки и защиты персональных данных государственного бюджетного учреждения здравоохранения

Акт определения уровня защищенности персональных данных информационной системы персональных данных «Наименование ИСПДн 1»

Технический паспорт информационной системы персональных данных «Наименование ИСПДн 1» государственного бюджетного учреждения здравоохранения

Информационное письмо уведомление об обработке (о намерении осуществлять обработку) персональных данных

Акт классификации информационной системы персональных данных «Наименование ИСПДн 2» ГБУЗ Учреждение

Справка об информационных системах персональных данных

Акт оценки возможного вреда субъектам, чьи персональные данные обрабатываются в информационной системе персональных данных

Схема потоков передачи персональных данных

Матрица доступа к защищаемым ресурсам автоматизированной системы обработки информации

Правила рассмотрения запросов субъектов

Инструкция по обработке запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним правовыми актами <Предприятия>.

Правила работы с обезличенными персональными данными

Перечень информационных систем персональных данных

Перечень персональных данных

Перечень должностей служащих <Предприятия>, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

Перечень должностей служащих <Предприятия>, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

Регламент резервного копирования и восстановления данных

Должностная инструкция ответственного за организацию обработки персональных данных

Согласие на обработку персональных данных

Порядок доступа служащих в помещения, в которых ведется обработка персональных данных

Описание технологического процесса обработки информации в информационных системах персональных данных

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРАВИЛА
обработки персональных данных
в , устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства российской федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

1. Общие положения

1.1. Настоящие Правила обработки персональных данных
субъектов персональных данных в устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных обстоятельств. Настоящие Правила разработаны в целях:

— обеспечения защиты прав и свобод субъектов персональных данных при обработке персональных данных в ;

— установления процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;

— определения целей обработки персональных данных в установленной сфере деятельности, включая содержание обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков обработки и хранения обрабатываемых персональных данных, а также порядка уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Настоящие Правила разработаны в соответствии с законодательством Российской Федерации в области обработки и защиты персональных данных и нормативными правовыми актами города Москвы.

1.3. Действие настоящих Правил не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов, а также при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Из числа работников определяются лица, уполномоченные на обработку персональных данных в и несущие ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

  1. Основные понятия

Понятия, применяемые в настоящих Правилах, используются в значениях, определенных законодательством Российской Федерации в области обработки и защиты персональных данных и нормативными правовыми актами города Москвы.

  1. Правила обработки персональных данных

3.1. Обработка персональных данных в осуществляется:

— неавтоматизированным методом;

— в информационных системах персональных данных ;

— в информационных системах, участником информационного взаимодействия (оператором информационной системы) в которых является .

3.2. Содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов персональных данных, правовые основания обработки персональных данных, сроки их обработки и хранения неавтоматизированным методом и в информационных системах персональных данных представлены в приложении к настоящим Правилам (к Правилам обработки персональных данных (типовая форма)).

3.3. Содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов персональных данных, правовые основания обработки персональных данных, сроки их обработки и хранения в информационных системах, участником информационного взаимодействия (оператором информационной системы) в которых является , приводятся в Паспортах информационных систем и ресурсов города Москвы (согласно распоряжению Правительства Москвы от 1 июля 2016 г. №64-16-267/16 «Об утверждении Порядка ведения Паспортов информационных систем и ресурсов города Москвы»).

3.4. Перечень обрабатываемых персональных данных в информационных системах персональных данных закреплен в документе «Перечень персональных данных, обрабатываемых в информационных системах персональных данных «, утверждаемом в установленном порядке.

3.5. Перечень информационных систем персональных данных , в которых осуществляется обработка персональных данных в соответствии с настоящими правилами, закреплен в документе «Перечень информационных систем персональных данных «, утверждаемом установленным порядком.

3.6. Обработка персональных данных может осуществляться в случаях, установленных законодательством Российской Федерации в области обработки и защиты персональных данных, в том числе в случаях, когда:

— обработка персональных данных осуществляется с согласия субъекта на обработку его персональных данных в случаях, установленных законодательством Российской Федерации;

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на функций, полномочий и обязанностей;

— обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти города Москвы и иных субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных в государственной информационной системе «Портал государственных и муниципальных услуг (функций) города Москвы»;

— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта или договора, по которому субъект данных будет являться выгодоприобретателем или поручителем;

— обработка персональных данных необходима для осуществления прав и законных интересов или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации и города Москвы.

3.7. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных субъектов обязано соблюдать следующие общие требования:

— при определении объема и содержания обрабатываемых персональных данных субъекта персональных данных должен руководствоваться законодательством Российской Федерации и нормативными правовыми актами города Москвы;

— все персональные данные субъекта персональных данных следует получать непосредственно у субъекта персональных данных, за исключением случаев, когда право на получение персональных данных иным способом установлено законодательством Российской Федерации в области обработки и защиты персональных данных, правовыми актами, принимаемыми в соответствии с данным законодательством или по поручению оператора персональных данных;

— в случае передачи персональных данных субъекта персональных данных третьей стороне, обязательным требованием является наличие письменного согласия субъекта, за исключением случаев, установленных законодательством Российской Федерации и нормативными правовыми актами города Москвы.

— не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях, за исключением случаев, предусмотренных законодательством Российской Федерации, нормативными правовыми актами города Москвы.

— персональные данные не могут быть использованы в целях причинения имущественного и морального вреда субъекту персональных данных, ограничения реализации его прав и свобод.

— иные требования, установленные законодательством Российской Федерации в области обработки и защиты персональных данных и нормативными правовыми актами города Москвы.

3.8. Защита персональных данных обеспечивается совокупностью организационных, технических и правовых мероприятий, необходимых для обеспечения уровня безопасности персональных данных, установленного законодательством Российской Федерации и внутренними документами , в том числе ограничением доступа к персональным данным в помещения, в которых осуществляется обработка персональных данных.

3.9. Перечень должностей служащих, замещение которых предусматривает доступ к персональным данным, обрабатываемым в информационных системах персональных данных и в информационных системах, участником информационного взаимодействия (оператором информационной системы) в которых является , закреплен в документе «Перечень должностей служащих (работников) замещение которых предусматривает доступ к персональным данным, обрабатываемым в информационных системах персональных данных», утверждаемом установленным порядком.

3.10. Защите подлежит любая информации о персональных данных субъекта, в том числе:

— документы, содержащие персональные данные субъекта на бумажных носителях;

— персональные данные, содержащиеся на электронных носителях и (или) в информационных системах.

3.11. При обработке персональных данных неавтоматизированным методом и в информационных системах персональных данных осуществляется обработка персональных данных путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных.

3.12. Сведения о субъектах при неавтоматизированной обработке их персональных данных хранятся на бумажных носителях в защищаемых помещениях . Для хранения съемных материальных носителей используются сейфы (металлические шкафы), оборудованные внутренними замками и приспособлениями для опечатывания замочных скважин или кодовыми замками.

3.13. Сроки обработки и хранения персональных данных определяются законодательством Российской Федерации, нормативными правовыми актами города Москвы.

3.14. Доступ к персональным данным субъектов персональных данных в ограничивается в установленном порядке.

3.15. Обрабатываемые в информационных системах персональные данные подлежат защите от актуальных угроз безопасности. Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные и технические меры защиты информации. Средства защиты информации должны быть сертифицированы на соответствие требованиям по безопасности информации в системе сертификации ФСТЭК России и (или) ФСБ России.

3.16. При обработке персональных данных должно быть обеспечено:

— проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачу их лицам, не имеющим права доступа к такой информации;

— своевременное обнаружение фактов несанкционированного доступа к персональным данным;

— недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

— незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— осуществление постоянного контроля обеспечения уровня защищенности персональных данных.

3.17. Работников , осуществляющих обработку персональных данных, в обязательном порядке:

— проинформировать об обработке ими персональных данных;

— ознакомить под роспись с внутренними нормативными и распорядительными документами в области обработки и обеспечения безопасности персональных данных;

— проинструктировать по правилам обработки и обеспечения безопасности персональных данных;

— проинформировать об ответственности за соблюдение законодательства в области обработки и обеспечения безопасности персональных данных.

3.18. Методическое руководство и реализация мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» возлагается на работника, ответственного за организацию обработки персональных данных в .

4. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

4.1. Персональные данные, обрабатываемые в , подлежат уничтожению в следующих случаях:

— при достижении целей обработки персональных данных (в том числе по истечении установленных сроков хранения);

— в случае отзыва субъектом согласия на обработку своих персональных данных, когда это согласие является обязательным условием обработки персональных данных;

— при невозможности устранения нарушений, допущенных при обработке персональных данных;

— в случае получения соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн (Роскомнадзора).

4.2. При невозможности уничтожения персональных данных в течение 30 (тридцати) дней осуществляет уничтожение персональных данных в течение шести месяцев. Обоснование невозможности уничтожения персональных данных в установленные законом сроки должно быть документально оформлено.

4.3. При достижении целей обработки персональных данных уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки.

Актуальные цели обработки персональных данных и сроки хранения персональных данных определены в приложении к настоящим Правилам (к Правилам обработки персональных данных (типовая форма)).

4.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва.

Процедура отзыва субъектом персональных данных согласия на обработку его персональных данных определена в документе «Правила рассмотрения запросов субъектов персональных данных или их представителей».

4.5. В случае невозможности устранения нарушений, допущенных при обработке персональных данных уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных. Порядок выявления неправомерной обработки персональных данных установлен в документе «Правила рассмотрения запросов субъектов персональных данных или их представителей».

4.6. В случае получение предписания о прекращении обработки (уничтожении) персональных данных от Роскомнадзора уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 10 (десяти) рабочих дней с даты получения предписания.

4.7. Уничтожение персональных данных осуществляется Комиссией по обеспечению безопасности персональных данных.

4.8. Персональные данные в могут содержаться в следующих хранилищах:

— на съемных машинных носителях;

— в базах данных информационных систем персональных данных;

— на бумажных носителях.

4.9. Уничтожение персональных данных, хранящихся на съемных машинных носителях персональных данных, проводится путем стирания с носителя соответствующих файлов.

4.10. Уничтожение персональных данных, хранящихся в базах данных информационных систем, производится путем стирания соответствующих полей в базе данных. При этом следует провести стирание не только в рабочем экземпляре базы, но и в резервных (тестовых) копиях базы.

4.11. Уничтожение бумажных носителей персональных данных производится способом, исключающим возможность восстановления этих персональных данных (шредирования либо сжигания).

4.12. По результатам уничтожения составляется Акт уничтожения персональных данных в .

  1. к Правилам обработки персональных данных (типовая форма)

(обязательное)

ПЕРЕЧЕНЬ
процессов и персональных данных, обрабатываемых в информационных системах персональных данных

Таблица 1.1 — Перечень процессов и персональных данных, обрабатываемых в информационных системах персональных данных

п/п

Категория субъектов персональных данных

Состав персональных данных

Правовые основания обработки

Сроки обработки и хранения

Наименование процесса:

Цели обработки персональных данных:

Способ обработки (неавтоматизированный/автоматизированный/смешанный/поручение на обработку):

Документальное обеспечение при организации защиты персональных данных на предприятии

При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.

Нормативная база

Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.

Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных. Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила.

Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:

  • частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
  • инструкцию пользователя конфиденциальной информации (п. 13);
  • инструкцию администратора данных (п. 13);
  • журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
  • список (перечень) лиц, которые допущены к обработке (п. 13 (в));
  • электронный журнал обращений (п. 15, 16);
  • приказ с перечнем мест хранения (п. 13).

Политика предприятия в области защиты персональных данных

До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.

Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.

Внутренние документы регулируют:

  • общие принципы работы;
  • порядок обработки на бумажных носителях;
  • правила работы в информационных системах;
  • особенности хранения;
  • порядок передачи;
  • инструкция для сотрудников;
  • другие моменты.

Перечень основных локальных документов

Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:

  • положение об обработке персональных данных (ст. 22);
  • план мероприятий для проведения контроля (ст. 18.1);
  • распорядительный акт о назначении ответственных (ст. 22.1);
  • внесение дополнений в должностные инструкции (ст. 22.1);
  • форма согласия на обработку персональных данных (ст. 6 и 9);
  • форма запроса на доступ (ст. 14);
  • формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).

Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

Документы для скачивания (бесплатно)

Алгоритм утверждения положения о защите персональных сведений

Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

Процесс принятия и внедрения локального акта состоит из нескольких этапов:

  • создание проекта;
  • получение согласования от компетентных специалистов компании;
  • введение в действие путем подписания приказа;
  • доведение документа до сотрудников, которые знакомятся с ним под роспись.

В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

Основные разделы Положения

Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:

  • общие сведения;
  • список информации и документов, содержащих данные о гражданах;
  • обязательства нанимателя;
  • процедура предоставления личных сведений;
  • способы и виды работы с информацией о гражданах;
  • оформление доступа к сведениям;
  • защита конфиденциальной информации;
  • права и обязанности субъекта;
  • ответственность должностных лиц и компании.

Перечень информации, относящейся к персональной

Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:

  • обезличенные – по ним нельзя определить конкретное лицо;
  • общие – первичные и основные;
  • специальные – здоровье, религия, раса, нация и т.д.;
  • биометрические – физиология и биология.

Персональные данные – это любые сведения, относящиеся к физическому лицу.

В перечень входит:

  • фамилия, имя, отчество;
  • число и населенный пункт рождения;
  • адрес проживания;
  • информация о документе, удостоверяющем личность;
  • СНИЛС;
  • ИНН;
  • сведения о дипломах;
  • информация о полученных доходах и оплате труда;
  • семейный статус;
  • другое.

Методы сбора и защиты ведомостей

Компания получает информацию для конкретных целей. Они должны быть отражены в положении и бланке информированного согласия.

Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.

Согласно Закону № 152-ФЗ фирма обязана:

  • определить, кто будет отвечать за организацию процесса обработки личных данных;
  • ввести в работу внутренние документы;
  • обеспечивать безопасное применение и использование;
  • контролировать процесс работы с информацией;
  • предотвращать вред, если будет нарушено законодательство;
  • знакомить с правилами работы граждан, принимаемых по трудовому договору.

Закон от 27.07.2006 № 149-ФЗ называет методы защиты:

  • реализация правил конфиденциальности;
  • пресечение неразрешенного доступа;
  • выявление фактов незаконного доступа и устранение вреда;
  • организация защиты технических средств;
  • запись резервных копий.

Назначение ответственных за хранение и обработку

Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:

  • начальник кадрового отдела;
  • инспекторы отдела по работе с персоналом;
  • работники бухгалтерии;
  • специалисты отдела информатизации.

Как обрабатываются данные?

Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:

  • взятие у гражданина согласия;
  • согласованность с поставленными задачами и целями.

В процессе обработки информации оператор выполняет следующие действия:

  • собирает;
  • уточняет;
  • систематизирует;
  • использует;
  • удаляет;
  • хранит.

Нарушения положения и ответственность должностных лиц

Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.

Административная ответственность (КоАП РФ):

  • ст. 13.11 – нарушение порядка работы с информацией;
  • ст. 13.12 – несоблюдение правил защиты;
  • ст. 13.14 – разглашение сведений;
  • ст. 19.5 – невыполнение предписания контролирующего органа.

В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.

Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.

Ст. 90 ТК РФ устанавливает ответственность сотрудников, которые получили доступ к конфиденциальным сведениям. Провинившегося можно уволить по решению работодателя.

Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.

Инструкция для работников

В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:

  • безопасного использования различных программ и технических средств;
  • применения логинов и паролей;
  • предоставления доступа;
  • антивирусной защиты;
  • работы с носителями;
  • другие моменты.

Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.

О том, как организовать защиту информации на предприятии, рассказано в видео ниже.

>Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

  1. Перечень ПД, подлежащих защите в информационных системах, согласно установленному ФЗ от 27.06.2006 года № 152 «О персональных данных».
  2. Приказ о назначении ответственных сотрудников за организацию обработки ПД и перечне мер по их защите.
  3. Список конфиденциальных сведений. В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.
  4. Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
  5. Список помещений, где проводится обработка ПД.
  6. Приказ об утверждении мест хранения ПД.
  7. Проект информационной системы ЗПД.
  8. Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
  9. Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
  10. Приказ по уничтожению ПД специальной комиссией. После выполненной обработки ПД необходимо уничтожить.
  11. Приказ об эксплуатации информационной системы, заключение о вводе в эксплуатацию.
  12. План внутренних проверок режима ЗПД. План рекомендовано выполнить в виде таблицы с указанием периодичности проверок оборудования и режима.
  13. Журнал учета действий по контролю данных. В таблицу можно записывать проводимые мероприятия.
  14. Журнал учета носителей информации.
  15. Журнал учета обращений субъектов ПД о выполнении их законных прав.
  16. Положение о правах доступа к обрабатываемым личным данным.
  17. План проведения внутренних проверок защищенности персональных данных.
  18. Акт классификации системы. Это база данных с личной информацией, где следует указать:
    • категории персональных данных;
    • кем используется система;
    • режим и объем обрабатываемой информации;
    • тип и структуру системы;
    • расположение технических средств;
    • подключение к другим сетям связи.
  19. Правила обработки без применения автоматизированных средств.
  20. Инструкция по организации защиты пароля и антивирусного контроля.
  21. Форма акта по утилизации документов, содержащих личную информацию.
  22. Журнал тестирования средств информационной защиты.
  23. Журнал по проведению инструктажа по безопасности системы.
  24. Журнал учета технических средств защиты информации.
  25. Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
  26. Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
  27. Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению. Должен подписывает каждый, кто имеет доступ к личным данным.
  28. Положение о защите ПД от несанкционированного доступа. Права и обязанности оператора, понятия из законодательства, цели и основания для обработки, ответственность за разглашение и внутренний доступ.
  29. Модель угроз безопасности. Совокупность условий, создающих опасность несанкционированного доступа, в результате чего может произойти копирование, изменение, уничтожение, блокирование, распространение личной информации.
  30. План действий по обеспечению безопасности. Указываются сроки, установка паролей и антивирусной программы, внедрение обновлений и доработок.
  31. Форма ответа на запрос ПД.

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

  • Организационная.

    Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.

    Сюда относятся:

    1. должностные инструкции;
    2. положение;
    3. уведомления, письма;
    4. акты, приказы (о допуске сотрудников к работе с ПД).
  • Технологическая.

    Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.

    Сюда относятся:

    1. инструкции по обработке данных;
    2. перечни.
  • Методическая.

    Детализация процессов обработки, порядок и правила работы с ПД.

Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами. На нашем сайте есть другие материалы, посвященные вопросам защиты ПД. Прочтя их, вы узнаете:

  • Какие уполномоченные органы по защите прав субъектов персональных данных существуют?
  • Что такое политика обработки и защиты ПД?
  • Как организовать и внедрить защиту данных в различных организациях?

Назначение ответственных лиц

Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

  1. персональные данные, обрабатываемые в ИСПДн;
  2. объем обрабатываемых ПД;
  3. уровень защищенности;
  4. тип актуальных угроз для ИСПДн.

Начало обработки

Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.

Для начала обработки данных требуется следующее документальное оформление:

  1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
  2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
  3. Образцы уведомления уполномоченного органа.
  4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
  5. Порядок отношений с распорядителем баз ПД.
  6. Порядок работы с запросами субъектов ПД.
  7. Договор с субъектами, обрабатывающими базы ПД.

Организационно-распорядительная документация

  1. Положение о защите ПД.

    Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.

  2. Приказ о допуске к документам с персональными сведениями.

    В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.

  3. Инструкция по защите ПД.

    Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.

Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.

Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

Положение о работе с персональными данными работников

1. Общие положения

1.1. Настоящее Положение определяет порядок сбора, записи, систематизации, накопления, хранения, уточнения передачи и любого другого действия по обработке персональных данных Работника, а также ведения его личного дела в соответствии с трудовым законодательством Российской Федерации.
Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым Кодексом РФ, Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Перечнем сведений конфиденциального характера, утвержденных Указом Президента РФ от 06.03.97 №188, и иными нормативными актами, действующими на территории Российской Федерации.

1.2. В настоящем Положении будут использоваться следующие термины и определения:
Работник – физическое лицо, вступившее в трудовые отношения c Работодателем.
Работодатель – ЗАО «Аксель Шпрингер Раша».
Персональные данные Работника – любая информация, относящаяся к прямо или косвенно определенному или определяемому Работнику (субъекту персональных данных).
Обработка персональных данных Работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными Работника, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных.
Защита персональных данных Работника – деятельность Работодателя по обеспечению с помощью локального регулирования порядка работы с персональными данными Работника и иных организационно-технических мер сохранности персональных данных Работника и недопустимости их неправомерного использования.
Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.

2. Обработка персональных данных Работников
2.1 Получение персональных данных Работников

2.1.1. Порядок работы с персональными данными Работника регламентирован действующим законодательством РФ, в частности главой 14 Трудового кодекса РФ и Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», и осуществляется с соблюдением строго определенных правил и условий.

2.1.2. Ответственным за организацию обработки персональных данных Работников является директор по персоналу.

2.1.3. В целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных Работника обязаны соблюдать следующие общие требования:

  • — Обработка персональных данных Работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия Работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Работодателя, Работника и третьих лиц;
  • — При определении объема и содержания обрабатываемых персональных данных Работника Работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами;
  • — Все персональные данные Работника следует получать лично у Работника. Если персональные данные возможно получить только у третьей стороны, то Работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (либо письменный отказ). Работодатель должен сообщить Работнику о целях, предполагаемых источниках и способах получения персональных данных, предполагаемых пользователях персональных данных, установленных законодательством правах Работника как субъекта персональных данных, характере подлежащих получению персональных данных и последствиях отказа Работника дать письменное согласие на их получение;
  • — Работодатель не имеет права получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ Работодатель вправе получать и обрабатывать данные о частной жизни Работника только с его письменного согласия;
  • — Работодатель не имеет права получать и обрабатывать персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
  • — При принятии решений, затрагивающих интересы Работника, Работодатель не имеет права основываться на персональных данных Работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

2.1.4. При поступлении на работу Работник предоставляет персональные данные о себе в документированной форме, а именно:

  • — паспорт или иной документ, удостоверяющий личность;
  • — трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или Работник поступает на работу на условиях совместительства;
  • — страховое свидетельство государственного пенсионного страхования;
  • — документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
  • — документ об образовании, о квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • — заполненную анкету;
  • — фотографию с указанием ФИО;
  • — в отдельных случаях с учетом специфики работы действующим законодательством РФ может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов (например, медицинское заключение для лиц в возрасте до 18 лет; для лиц, занятых на работах, связанных с движением транспорта, визы, разрешения на работу для иностранных граждан).

2.1.5. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

2.1.6. При заключении трудового договора и в ходе трудовой деятельности может возникнуть необходимость в предоставлении Работником документов:

  • — о рождении детей;
  • — о возрасте детей;
  • — о беременности женщины;
  • — об инвалидности;
  • — о донорстве;
  • — о составе семьи;
  • — о доходе с предыдущего места работы;
  • — о необходимости ухода за больным членом семьи;
  • — ИНН;
  • — прочие.

2.1.7. Работодатель имеет право проверять достоверность сведений, представляемых Работником. По мере необходимости Работодатель истребует у Работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.

2.1.8. При оформлении Работника отделом по работе с персоналом заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные Работника:

  • — общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, уровень владения иностранными языками, образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные);
  • — сведения о месте жительства и о контактных телефонах;
  • — сведения о воинском учете;
  • — данные о приеме на работу;
  • — сведения об аттестации;
  • — сведения о повышенной квалификации;
  • — сведения о профессиональной переподготовке;
  • — сведения о наградах (поощрениях), почетных званиях;
  • — сведения об отпусках;
  • — сведения о социальных гарантиях.

2.1.9. Лица, получающие персональные данные Работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными Работников в порядке, установленном федеральными законами.

2.2. Хранение персональных данных Работников

2.2.1. В отделе по работе с персоналом создаются и хранятся следующие группы документов (в электронной и/или бумажной форме), содержащие данные о Работниках в единичном или сводном виде:

  • — резюме и анкеты Работников;
  • — карточки унифицированной формы Т-2;
  • — трудовые договоры;
  • — дополнительные соглашения к трудовому договору;
  • — соглашения сторон;
  • — уведомления;
  • — заявления Работников;
  • — предложения Работникам;
  • — согласия Работников;
  • — подлинники и копии приказов о приеме Работника на работу;
  • — подлинники и копии приказов о прекращении трудового договора с Работниками;
  • — подлинники и копии приказов о переводе Работника на другую работу;
  • — подлинники и копии приказов о предоставлении отпуска Работника;
  • — подлинники и копии приказов о поощрении Работника;
  • — подлинники и копии приказов о направлении Работника в командировку;
  • — подлинники и копии приказов о предоставлении отпуска Работника;
  • — подлинники и копии приказов о предоставлении ежегодного основного оплачиваемого отпуска с последующим увольнением;
  • — подлинники и копии приказов об объявлении выговора;
  • — подлинники и копии приказов об объявлении замечания;
  • — подлинники и копии приказов о внесении изменении в учетные документы, содержащие персональные данные;
  • — подлинники и копии приказов о выплате материальной помощи;
  • — подлинники и копии приказов о предоставлении отпуска по уходу за ребенком;
  • — подлинники и копии приказов о назначении компенсационных выплат по уходу за ребенком;
  • — подлинники и копии приказов о доплате по листку нетрудоспособности;
  • — подлинники и копии приказов по обучению;
  • — подлинники и копии приказов о компенсации расходов;
  • — подлинники и копии приказов о доплате;
  • — подлинники и копии приказов о компенсации расходов по добровольному медицинскому страхованию;
  • — подлинники и копии приказов о выплате пенсионного страхования в Германии;
  • — подлинники и копии приказов о поручении дополнительной работы;
  • — подлинники и копии приказов по основной деятельности;
  • — подлинники и копии приказов по аттестации;
  • — личные файлы и трудовые книжки Работников;
  • — должностные инструкции Работников;
  • — аттестационные листы Работников;
  • — дела, содержащие основания к приказам;
  • — дела, содержащие материалы аттестаций сотрудников;
  • — дела, содержащие материалы внутренних расследований;
  • — справочно-информационный банк данных по персоналу (картотеки, журналы);
  • — подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Работодателя, руководителям структурных подразделений;
  • — копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие государственные учреждения;
  • — документы планирования, учета, анализа и отчетности по вопросам кадровой работы;
  • — комплекс документов, необходимых для оформления добровольного медицинского страхования Работников;
  • — комплекс документов, необходимых для обучения Работников;
  • — комплекс документов, необходимых для оформления СНИЛС Работников;
  • — объяснительные;
  • — акты;
  • — протоколы;
  • — разрешения на обработку персональных данных.

2.2.2. В бухгалтерии создаются и/или хранятся следующие группы документов (в электронной и/или бумажной форме), содержащие данные о Работниках в единичном или сводном виде:

  • — расчетные листки Работников;
  • — ведомости с номерами расчетных счетов Работников;
  • — документы, необходимые для расчета заработной платы Работников, которые передаются в бухгалтерию сотрудниками отдела по работе с персоналом;
  • — листки нетрудоспособности;
  • — заявления на удержания;
  • — исполнительные листы;
  • — копии приказов по основной деятельности, необходимые для осуществления деятельности бухгалтерии.

2.2.3. В юридическом отделе создаются и/или хранятся следующие группы документов (в электронной и/или бумажной форме), содержащие данные о Работниках в единичном или сводном виде:

  • — доверенности на Работников;
  • — договоры, связанные с осуществлением деятельности Работодателя;
  • — решения единственного участника Работодателя;
  • — копии миграционных документов Работников – иностранных граждан.

2.2.4. В отделе информационных технологий создаются и/или хранятся следующие группы документов (в электронной и/или бумажной форме), содержащие данные о Работниках в единичном или сводном виде:

  • — копии обходных листов уволенных Работников;
  • — акты приема/передачи оборудования;
  • — книга учета ознакомления сотрудников ЗАО «Аксель Шпрингер Раша» с политиками, процедурами и положениями в области ИТ.

2.2.5. Выше обозначенные документы, содержащие персональные данные Работников, хранятся на бумажных носителях в помещениях отдела по работе с персоналом, бухгалтерии, юридического отдела, отдела информационных технологий соответственно. Для этого используются специально оборудованные шкафы и сейфы, которые запираются. Сведения о Работниках располагаются в алфавитном порядке. Ключи от шкафов и сейфов, в которых хранятся сведения о Работниках организации, находятся у директора по персоналу, главного бухгалтера, директора по юридическим вопросам, заместителя директора по информационным технологиям соответственно. При отсутствии – у их заместителей. Личные файлы уволенных Работников хранятся в архиве отдела по работе с персоналом в алфавитном порядке.

2.2.6. Конкретные обязанности по хранению личных файлов Работников, заполнению, хранению и выдаче трудовых книжек (дубликатов трудовых книжек), иных документов, отражающих персональные данные Работников, возлагаются на Работников отдела по работе с персоналом и закрепляются в их должностных инструкциях.

2.2.7. В отношении некоторых документов действующим законодательством РФ могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными соответствующими нормативными актом.

2.2.8. На компьютерах сотрудников отдела по работе с персоналом, главного бухгалтера, старшего бухгалтера (по расчету заработной платы) и руководителя группы по развитию бизнес-приложений установлена автоматизированная информационная система «1С» с доступом, ограниченным паролем, к персональным данным Работников.

2.2.9. Работодатель обеспечивает ограничение доступа к персональным данным Работников лицам, не уполномоченным законом либо Работодателем для получения соответствующих сведений.

2.2.10. Кабинет отдела по работе с персоналом, а также кабинет юридического отдела оборудуются системой доступа по электронному пропуску. Дополнительно кабинет отдела по работе с персоналом оборудуется камерой видеонаблюдения.

2.3. Доступ к персональным данным Работников

2.3.1. Доступ к персональным данным Работников имеют Работники, занимающие следующие должности:

  • — генеральный директор;
  • — финансовый директор;
  • — главный бухгалтер;
  • — директор по персоналу;
  • — менеджер по персоналу;
  • — директор по юридическим вопросам;
  • — юрист;
  • — cтарший бухгалтер (по расчету заработной платы);
  • — руководитель группы по развитию бизнес-приложений;
  • — сотрудники отдела информационных технологий;
  • — руководители структурных подразделений (только в отношении персональных данных Работников, находящихся в штате соответствующих структурных подразделений).

2.3.2. При получении сведений, составляющих персональные данные Работника, указанные лица имеют право получать только те персональные данные Работника, которые необходимы для выполнения конкретных функций, заданий.

2.3.3. Доступ к компьютерам сотрудников, указанных в п. 2.3.1 ограничен паролем, который известен только этим сотрудникам.

2.4. Передача персональных данных Работников

2.4.1. При передаче персональных данных Работника Работодатель должен соблюдать следующие требования:

  • • Не сообщать персональные данные Работника третьей стороне без письменного согласия Работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника, а также в случаях, установленных федеральным законом.
  • • Не сообщать персональные данные Работника в коммерческих целях без его письменного согласия;
  • • Предупредить лиц, получающих персональные данные Работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • • Осуществлять передачу персональных данных Работника в пределах одного Работодателя в соответствии с настоящим Положением;
  • • Разрешать доступ к персональным данным Работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Работника, которые необходимы для выполнения конкретных функций;
  • • Не запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции;
  • • Передавать персональные данные Работника представителям Работников в порядке, установленном Трудовым кодексом и настоящим Положением, и ограничивать эту информацию только теми персональными данными Работника, которые необходимы для выполнения указанными представителями их функций.

2.4.2. В рамках компании менеджер по персоналу передает старшему бухгалтеру для начисления заработной платы Работникам копии приказов, соглашений, листки нетрудоспособности, справки, свидетельства, заявления и другие необходимые копии и оригиналы документов.

2.4.3. С письменного согласия Работников персональные данные могут передаваться, как на бумажных носителях, так и посредством автоматизированных средств, в банк в рамках реализации зарплатного проекта Работодателя, в страховую компанию в рамках договоров по страхованию Работников, в другие организации в рамках реализации заключенных договоров. В случае запроса о работающем или уволенном Работнике сведения предоставляются с письменного согласия Работника.

2.5. Защита персональных данных

2.5.1. Основной задачей обеспечения безопасности персональных данных Работников является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных Работников, разрушения (уничтожения) или искажения их в процессе обработки.

2.5.2. Защита персональных данных Работника от неправомерного их использования или утраты должна быть обеспечена Работодателем за счет его средств в порядке, установленном федеральным законом.

2.5.3. «Внутренняя защита».
Для обеспечения внутренней защиты персональных данных Работников осуществляется ряд мер:

  • — все компьютеры должны быть защищены паролем, который ежемесячно меняется Работниками;
  • — ограничение и регламентация состава Работников, имеющих доступ к персональным данным Работников;
  • — строгое избирательное и обоснованное распределение документов и информации между Работниками;
  • — знание Работниками требований нормативно – методических документов по защите персональных данных. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных Работников, а также осведомлены об их правах и обязанностях в этой области.
  • — рациональное размещение рабочих мест Работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
  • — наличие систем электронных пропусков в кабинеты генерального директора, отдела по работе с персоналом, юридического отдела;
  • — документы, содержащие персональные данные Работников, хранятся в железных шкафах и сейфах, которые запираются и опечатываются;
  • — при необходимости документы, содержащие персональные данные Работников, уничтожаются при помощи шредера;
  • — ограничение паролем доступа к автоматизированной базе данных «1С», содержащей персональные данные Работников;
  • — ограничение паролем доступа к системе банк-клиент «ELBRUS Internet», используемой для отправки документов, содержащих персональные данные Работников, в рамках реализации зарплатного проекта;
  • — регистрация всех действий, совершаемых в автоматизированных информационных системах;
  • — ежедневное создание резервной копии данных в автоматизированных информационных системах;
  • — Работникам, имеющим доступ к обработке персональных данных, запрещается в случае выхода из помещения (любой продолжительности) оставлять на рабочем столе документы, картотеки, служебные записи и другие материалы, содержащие персональные данные Работников, а также оставлять незаблокированными мониторы компьютеров, оставлять шкафы незапертыми;
  • — разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

2.5.4. «Внешняя защита».
Для обеспечения внешней защиты персональных данных Работников соблюдается ряд мер:

  • — учет посетителей и сопровождение их на территории офиса Работодателя;
  • — пропускной режим при входе в офис Работодателя;
  • — учет выдачи пропусков, своевременное их аннулирование при необходимости;
  • — технические средства охраны, система видеонаблюдения;
  • — охрана территории, офисного здания, транспортных средств;
  • — учет машинных носителей персональных данных;
  • — определение угроз безопасности персональных данных Работников при их обработке в информационных системах и применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • — оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • — на внешние письменные запросы о предоставлении информации о Работниках отвечают только лица, имеющие в рамках своих должностных обязанностей доступ к персональным данным Работников.

2.5.5. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных Работников.

2.5.6. По возможности персональные данные обезличиваются.

2.5.7. Работодатель ежегодно формирует план мероприятий по защите персональных данных и осуществляет контроль его выполнения.

2.5.8. Ответственным за обеспечение безопасности персональных данных в информационной системе Работодателя, а также ответственным за выбор и реализацию методов и способов защиты информации в информационной системе Работодателя назначается заместитель директора по информационным технологиям.

3. Обязанности Работника и Работодателя в отношении персональных данных Работника

3.1. В целях обеспечения достоверности персональных данных Работник обязан:

3.1.1. При приеме на работу предоставить Работодателю полные и достоверные данные о себе;

3.1.2. В случае изменения сведений, составляющих персональные данные Работника, незамедлительно предоставить данную информацию Работодателю.

3.2. Работодатель обязан:

3.2.1. Осуществлять защиту персональных данных Работника;

3.2.2. Обеспечить надлежащее хранение первичной учетной документации по учету труда и его оплате, к которой, в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с Работниками по оплате труда и др. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные;

3.2.3. Не сообщать персональные данные Работника третьей стороне без письменного согласия Работника, за исключением случаев, предусмотренных законодательством Российской Федерации;

3.2.4. Разрешать доступ к персональным данным Работников только специально уполномоченным лицам в рамках выполнения конкретных функций;

3.2.5. Принимать необходимые правовые, организационные и технические меры для защиты персональных данных Работников при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;

3.2.6. Другие обязанности Работодателя, установленные законодательством Российской Федерации.

4. Права Работников в целях обеспечения защиты персональных данных

4.1. В целях обеспечения защиты персональных данных, хранящихся у Работодателя, Работники имеют право на:

4.1.1. Полную информацию об их персональных данных и обработке этих данных.

4.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Работника, за исключением случаев, предусмотренных законодательством РФ;

4.1.3. Определение представителей для защиты своих персональных данных;

4.1.4. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Законодательства РФ. При отказе Работодателя исключить или исправить персональные данные Работник имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

4.1.5. Требование об извещении Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

4.1.6. Обжалование в суд любых неправомерных действий или бездействия Работодателя при обработке и защите его персональных данных.

5. Ответственность за нарушение норм, регулирующих порядок обработки и защиты персональных данных Работников

5.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством.

5.2. Неправомерный отказ Работодателя исключить или исправить персональные данные Работника, а также любое иное нарушение прав Работника на защиту персональных данных влечет возникновение у Работника права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.

6. Заключительные положения

6.1. Настоящее Положение вступает в силу с момента его утверждения генеральным директором.

6.2. Настоящее Положение доводиться до сведения всех Работников персонально под роспись.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *