Положение об обработке и защите персональных данных в ООО «Физиотехника»
Термины и определения
Работник — физическое лицо, вступившее в трудовые отношения с работодателем.
Работодатель — Общество с ограниченной ответственностью «Физиотехника» (далее - Общество), вступившее в трудовые отношения с работником.
Трудовые отношения — отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции (работы по определенной должности, специальности, квалификации), подчинении работника правилам внутреннего трудового распорядка при обеспечении условий труда, предусмотренных трудовым законодательством, коллективным договором, соглашениями.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Персональные данные работников — информация, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника.
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация ограниченного доступа — информация, доступ к которой ограничен федеральными законами.
Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
1 Общие положения
Положение о персональных данных организации (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных», Указом Президента Российской Федерации от 06.03.1997г. № 188 «Об утверждении перечня сведений конфиденциального характера» и другими нормативными актами. Настоящее Положение устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность руководителей структурных подразделений и работников Общества. Общество является оператором персональных данных. Работники Общества допускаются к обработке персональных данных в объеме, определяемом должностными обязанностями. В организации ведется обработка персональных данных работников в информационных системах «1С Бухгалтерия», «1С Зарплата и управление персоналом», а также персональные данные граждан контрагентов юридических лиц. Организация обеспечения безопасности персональных данных в Обществе возлагается на должностное лицо, назначенное ответственным за обеспечение безопасности персональных данных приказом генерального директора. Требования настоящего Положения доводятся до всех работников Общества под роспись.
2 Обработка персональных данных
2.1 Общий порядок обработки
Обработка персональных данных в структурных подразделениях Общества ведется в объеме, определяемом положениями о них. Обработка персональных данных, включаемых в личные дела работников организации, осуществляется начальником отдела кадров с соблюдением требований Трудового Кодекса Российской Федерации. Генеральным директором Общества определяются лица, уполномоченные на получение, хранение, передачу и другое использование персональных данных (далее — уполномоченные лица). Целесообразность предоставления доступа к персональным данным определяет генеральный директор Общества, руководствуясь при этом локальными актами Общества и обоснованностью требуемых прав доступа.
2.2 Получение (сбор) персональных данных Сбор персональных данных может осуществляться исключительно в целях:
- содействия работникам в трудоустройстве, обучении и продвижении по службе;
- иных случаях, в том числе в связи с заключением договоров, стороной которых являются субъекты персональных данных.
При определении объема и содержания, обрабатываемых персональных данных Филиал руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и другими нормативными актами. Объем и характер обрабатываемых персональных данных, способы обработки персональных данных, должны соответствовать целям обработки персональных данных.
Персональные данные работников (или претендентов на вакантные должности) следует получать лично у субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (работодатель должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение).
Запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.
Запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Общество не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, а также частной жизни - сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
При принятии решений, затрагивающих интересы субъекта персональных данных, Филиал не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки. Все документы, содержащие персональные данные, должны быть уничтожены установленным порядком по достижении цели, для которой они собирались и использовались.
Дела, содержащие персональные данные субъектов персональных данных, должны вестись в соответствии с требованиями действующих инструкций.
2.3 Доступ к персональным данным
Лица, доступ которых к персональным данным, обрабатываемым в информационных системах Общества, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании перечня, утвержденного Приказом генерального директора Общества.
Лица, имеющие доступ к персональным данным, дают письменное согласие о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки (Приложение 1).
Лица, имеющие доступ к персональным данным, имеют право получать и обрабатывать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
В случае если Обществу оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров, они должны иметь доступ к персональным данным, обрабатываемым в Обществе, то соответствующие данные предоставляются Обществу только после подписания с ними соглашения о неразглашении конфиденциальной информации или включения в договоры пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных.
Государственным органам, осуществляющим функции контроля (надзора) предоставляют права доступа к персональным данным, обрабатываемым в Обществе только в сфере своей компетенции и в объеме, предусмотренном действующим законодательством.
Субъект персональных данных, данные о котором обрабатываются в Обществе, имеет право на свободный доступ к своим персональным данным, получение копий своих персональных данных (за исключением случаев предусмотренных федеральным законом) на основании его письменного запроса. (Приложение 2 «Журнал учета обращений субъектов персональных данных»)
Общество обязано в порядке, предусмотренном Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2.4 Обработка документов внутреннего пользования
В Обществе могут создаваться документы внутреннего использования, содержащие персональные данные работников, предназначенные для общего внутреннего пользования (телефонные справочники, справочники с днями рождений, объявления, поздравления, бирки на служебных кабинетах и т. п.). Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы, и (или) на лиц, изготовивших и разместивших их.
Внутренние телефонные справочники выдаются в отделы под роспись с указанием количества выданных в подразделение экземпляров. При этом старые справочники возвращаются и уничтожаются лицами, ответственными за их изготовление и выдачу.
Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего использования, содержащие персональные данные, запрещается.
Обработка персональных данных ведется работниками на рабочих местах, выделенных для исполнения ими должностных обязанностей. Членами комиссий обработка персональных данных может производиться в помещениях, где происходит заседание данной комиссии. По окончании заседания документы, содержащие персональные данные, возвращаются в места их постоянного хранения.
2.5 Передача персональных данных
Запрещается передавать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством РФ.
Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи, а также представителям субъекта только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ. Документы, содержащие персональные данные субъекта, по его личному заявлению, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
Передача персональных данных по незащищенным каналам связи запрещается.
Внутри Общества без письменного согласия субъекта персональных данных разрешается передача (представлять) персональных данных в структурные подразделения и комиссии, необходимые им для выполнения своих функций.
Лица, получающие персональные данные, должны быть предупреждены, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральным законодательством).
Разрешается передавать персональные данные представителям субъектов персональных данных в порядке, установленном существующим законодательством, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций.
Запрещается передавать кому-либо персональные данные субъектов персональных данных в коммерческих целях без письменного согласия субъектов.
Все факты передачи персональных данных третьим лицам должны учитываться в «Журнале учета передачи сведений, содержащих ПДн» (Приложение №3). В Журнале указывают сведения о поступившем запросе (кто является отправителем запроса, дата его поступления), дату ответа на запрос, данные, какая именно информация была передана, или отметку об отказе в ее предоставлении (в случае трудовых отношений разрешается ограничиваться помещением в личное дело работника выписок, копий документов и т.п., отражающих сведения о поступившем запросе и результатах его рассмотрения). Учет передачи персональных данных разрешается не производить при передаче их в случае, установленном законом, а также при внутренней передаче.
Ответ на запрос подписывается (визируется) руководителем того структурного подразделения, который отвечает за достоверность содержащихся в них сведений, если иное не предусмотрено законодательством.
3 Обязанности лиц, допущенных к обработке персональных данных
Работники, допущенные к обработке персональных данных, обязаны:
- знать и выполнять требования настоящего Положения;
- осуществлять обработку персональных данных в целях, определенных данным Положением (п. 2.2.);
- знакомиться только с теми персональными данными, к которым получен доступ;
- не разглашать известные им сведения о персональных данных, информировать своего непосредственного начальника о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;
- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
- выполнять требования по защите полученных персональных данных;
- соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;
- предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения.
4 Защита персональных данных
Защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается Обществом, в установленном действующем законодательством и локальными актами Общества порядке, выполнением комплекса организационно-технических мер, обеспечивающих их безопасность.
Для осуществления мероприятий по обеспечению безопасности персональных данных в Обществе Приказом генерального директора, назначаются ответственные лица за обеспечение безопасности персональных данных.
Получение и обработка уполномоченными лицами персональных данных производится после подписания субъектом персональных данных Согласия (Приложение №4), в случаях если это требуется законодательством.
Документы, содержащие персональные данные, должны храниться в надежно запираемых хранилищах, а также в не запираемых шкафах, при условии, что бесконтрольный доступ посторонних лиц в хранилища (кабинеты) исключен.
Персональные данные работников Предприятия (личные карточки, трудовые книжки и др.) хранятся у начальника отдела кадров в сейфах или в запираемых шкафах. Хранение персональных данных в структурных подразделениях Общества, сотрудники которых имеют допуск к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.
Организация защиты персональных данных в Информационных системах Общества осуществляется в рамках действующей в Обществе системы защиты информации. Доступ к Информационным системам Общества, содержащим персональные данные, обеспечиваются системой паролей, а также программно-техническими средствами защиты информации.
Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.
В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся персональные данные, а также помещений, где находятся средства вычислительной техники, предназначенные для обработки персональных данных, находятся на хранении у ответственных работников.
По окончании рабочего времени помещения, предназначенные для обработки персональных данных должны быть закрыты на ключ, бесконтрольный доступ в такие помещения должен быть исключен (например, применением опечатывания, видеонаблюдения или систем контроля доступа).
Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
При принятии решений, затрагивающих интересы субъекта, Общество не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
Все меры конфиденциальности при сборе, обработке и хранении персональных данных работника распространяются как на бумажные, так и на электронные носители информации.
5 Права субъектов на защиту своих персональных данных
В целях обеспечения защиты своих персональных данных субъект имеет право:
- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом;
- требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона (работник, при отказе Общества или уполномоченного им лица исключить или исправить персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);
- требовать от Общества или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суде любые неправомерные действия или бездействие руководителя организации пли уполномоченного им лица при обработке и защите персональных данных;
- вносить предложения по мерам защиты персональных данных.
6 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Должностные лица, имеющие доступ к персональным данным, несут личную ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.
Каждый работник Общества, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Работники Филиала, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.
Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц.
За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
Ответственность за соблюдение вышеуказанного порядка обработки персональных данных несет работник, а также руководитель структурного подразделения, осуществляющего обработку персональных данных.
Должностные лица, в обязанность которых входит обработка персональных данных работников Общества, обязаны обеспечить каждому работнику, при необходимости, возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
7 Контроль выполнения требований настоящего
Положения Повседневный контроль порядка обращения с персональными данными осуществляют руководители тех структурных подразделений Общества, в которых обрабатываются персональные данные субъектов. Периодический контроль выполнения настоящего Положения возлагается на должностное лицо, назначенное генеральным директором Общества, ответственным за обеспечение безопасности персональных данных.