ПОЛОЖЕНИЕ о работе с персональными данными работников АНО ДПО «Учебный центр «ТриР»
ПОЛОЖЕНИЕ о работе сперсональными данными работников АНО ДПО «Учебный центр «ТриР»
1. Общие положения
1.1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника, слушателей, участников образовательного процесса, а также ведения его личного дела (в случае, когда оно ведется) в соответствии с трудовым законодательством Российской Федерации, Закон «Об образовании», ГОСТ 12.0.004 – 2015 «Организация обучения безопасности труда», Постановление министерства труда и социального развития РФ и Министерства образования РФ от 13 января 2003 года 1/29.
1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом № 152-ФЗ от 27.27.2006 года «О персональных данных» с изменениями от 31.12.2017 № 498 - ФЗ, Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.97 № 188, и иными нормативными актами, действующими на территории Российской Федерации.
1.3. В настоящем Положении будут использоваться следующие термины и определения:
Работник — физическое лицо, состоящее в трудовых отношениях с работодателем.
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Персональные данные работника — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных работника — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
Обработка персональных данных включает в себя, в том числе:
- сбор;
-запись;
-систематизацию;
-накопление;
-хранение;
-уточнение (обновление, изменение);
-извлечение;
-использование;
-передачу(распространение, предоставление, доступ);
-обезличивание;
-блокирование;
-удаление;
-уничтожение.
Защита персональных данных работника — деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями.
Конфиденциальная информация — это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.
2. Сбор, обработка и защита персональных данных работника
2.1.Персональные данные работника относятся к конфиденциальной информации, то есть порядок работы с ними регламентирован действующим законодательством РФ и осуществляется с соблюдением строго определенных правил и условий. Данные требования установлены ст. 86 Трудового кодекса РФ и не подлежат изменению, исключению, так как являются обязательными для сторон трудового отношения.
2.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
2.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работодателя, работника и третьих лиц;
2.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами;
2.2.3. Все персональные данные работника следует получать лично у работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса на прежнее место работы работника в целях выяснения его профессиональных качеств; запроса в учебное заведение о подлинности документа об образовании и т.п.) и последствиях отказа работника дать письменное согласие на их получение;
2.2.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
2.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
2.2.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных электронно или в результате их автоматизированной обработки.
2.3. При поступлении на работу работник предоставляет персональные данные о себе в документированной форме. А именно:
- паспорт или иной документ, удостоверяющий личность;
-трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
- документ об образовании, о квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки;
- справка о наличии(отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно – правовому регулированию в сфере внутренних дел, - при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с Трудовым кодексом РФ, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию;
- в отдельных случаях с учетом специфики работы действующим законодательством РФ может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов (например, медицинское заключение для лиц в возврате до 18 лет; для лиц, занятых на тяжелых работах и работах с вредными и (или) опасными условиями труда, а также на работах, связанных с движением транспорта).
2.4. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.
2.5. При заключении трудового договора и в ходе трудовой деятельности может возникнуть необходимость в предоставлении работником документов:
- о возрасте детей;
- о беременности женщины;
-об инвалидности;
- о донорстве;
- о составе семьи;
- о доходе с предыдущего места работы;
- о необходимости ухода за больным членом семьи;
- прочие.
2.6. После того, как будет принято решение о приеме работника на работу, а также впоследствии в процессе трудовой деятельности к документам, содержащим персональные данные работника, также будут относиться:
- трудовой договор и приказ о приеме на работу;
- приказы о поощрениях и взысканиях;
- приказы об изменении условий трудового договора;
- карточка унифицированной формы Т-2, утвержденная постановлением Госкомстата России от05.01.04 № 1;
- другие документы.
2.7. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом не менее чем за три рабочих дня и от него должно быть получено письменное согласие (либо письменный отказ), которое работник должен дать в течение пяти рабочих дней с момента получения от работодателя соответствующего уведомления.
В письменном уведомлении работодатель должен поставить работника в известность о последствиях отказа в даче им согласия на получение персональных данных, включая отказ в приеме на работу.
2.8. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
2.9. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ, иными федеральными законами.
2.10. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также осведомлены об их правах и обязанностях в этой области.
2.11. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Если в трудовом договоре будет содержаться норма об отказе работника от данного права, то в этой части трудовой договор будет считаться недействительным.
2.12. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
3. Хранение персональных данных работника
3.1. Сведения о работниках организации хранятся на бумажных носителях в помещении отдела персонала. Для этого используются специально оборудованные шкафы и сейфы, которые запираются и опечатываются. Сведения о работниках располагаются в алфавитном порядке. Ключ от шкафов и сейфов, в которых хранятся сведения о работниках организации, находится у специалиста центра, определенного приказом директора. Личные дела уволенных работников хранятся в архиве отдела персонала в алфавитном порядке.
3.2. Конкретные обязанности по хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек (дубликатов трудовых книжек), иных документов, отражающих персональные данные работников, возлагаются на работника определенного приказом и должностных инструкциях.
3.3. В отношении некоторых документов действующим законодательством РФ могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом.
3.4. Сведения о работниках организации могут также храниться на электронных носителях, доступ к которым ограничен паролем.
3.5. Работодатель обеспечивает ограничение доступа к персональным данным работников лицам, не уполномоченным законом либо работодателем для получения соответствующих сведений.
3.6. Доступ к персональным данным работников без специального разрешения имеют работники, занимающие в организации следующие должности:
- директор;
- главный бухгалтер;
- бухгалтер;
- юрисконсульт.
3.7. При получении сведений, составляющих персональные данные работника, указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций, заданий.
4. Передача персональных данных работника
4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом (например, несчастный случай на производстве обязывает работодателя при необходимости доставить пострадавшего в учреждение здравоохранения, немедленно проинформировать родственников пострадавшего, а также направить сообщение в органы и организации, определенные Трудовым кодексом РФ (ст. 228 ТК РФ), иными федеральными законами; о случаях острого отравления работодатель сообщает в соответствующий орган санитарно-эпидемиологического надзора).
Учитывая, что Трудовой кодекс РФ не определяет критерии ситуаций, представляющих угрозу жизни или здоровью работника, работодатель в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника, либо отсутствует письменное согласие работника на предоставление его персональных сведений, либо, по мнению работодателя, отсутствует угроза жизни или здоровью работника, работодатель обязан отказать в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных;
4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
4.1.3. Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
4.1.4. Осуществлять передачу персональных данных работника в пределах одного работодателя в соответствии с настоящим Положением;
4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции (например, допустимо обращение за информацией о состоянии здоровья беременной женщины при решении вопроса о ее переводе на другую работу, исключающую воздействие неблагоприятных техногенных факторов);
4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
4.2. Данные требования установлены ст. 88 Трудового кодекса РФ и не подлежат изменению, исключению, так как являются обязательными для сторон трудовых отношений.
5. Обязанности работника и работодателя
5.1. В целях обеспечения достоверности персональных данных работник обязан:
5.1.1. При приеме на работу предоставить работодателю полные и достоверные данные о себе;
5.1.2. В случае изменения сведений, составляющих персональные данные работника, незамедлительно предоставить данную информацию работодателю.
5.2. Работодатель обязан:
5.2.1. Осуществлять защиту персональных данных работника;
5.2.2. Обеспечить хранение первичной учетной документации по учету труда и его оплаты, к которой, в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с работниками по оплате труда и др. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные;
5.2.3. Заполнение документации, содержащей персональные данные работника, осуществлять в соответствии с унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными постановлением Госкомстата России от 05.01.04 № 1;
5.2.4. По письменному заявлению работника не позднее трех дней со дня подачи этого заявления выдавать последнему копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно;
5.2.5. Вести учет передачи персональных данных работника третьим лицам путем ведения соответствующего журнала, отражающего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления работодателю), дату ответа на запрос, какая именно информация была передана либо отметку об отказе в ее предоставлении, либо ограничиваться помещением в личное дело работника выписок, копий документов и т.п., отражающих сведения о поступившем запросе и результатах его рассмотрения;
6. Права работников в целях защиты персональных данных
6.1. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
6.1.1. Полную информацию об их персональных данных и обработке этих данных, в частности работник имеет право знать, кто и в каких целях использует или использовал его персональные данные;
6.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
6.1.3. Определение представителей для защиты своих персональных данных;
6.1.4. Доступ к относящимся к ним медицинским данным;
6.1.5.Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6.1.6. Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
6.1.7. Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника
7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
7.2. Неправомерный отказ работодателя исключить или исправить персональные данные работника, а также любое иное нарушение прав работника на защиту персональных данных влечет возникновение у работника права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.
8. Защита персональных данных по системе ФИС ФРДО
8.1. ФИС ФРДО – федеральная информационная система «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении».
Информационная безопасность – состояние защищённости информационной среды, обеспечивающее её формирование, использование и развитие.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств.
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
АИС – автономная информационная система.
8.2. Персональные данные передаются по защищенному каналу связи, поддерживаемому и обслуживаемому специальным органом (по договору с АНО ДПО «УЦ «ТриР»), имеющим разрешительные документы с ФСБ, а также такие средства защиты информации как:
- Secret Net Studio 8;
- ViPNet Client 4.
Договор может быть перезаключен, но средства защиты останутся на уровне, соответствующем требованиям законодательства.
9. Заключительные положения
9.1. Настоящее Положение вступает в силу с момента его утверждения директором.
9.2. Настоящее Положение доводится до сведения всех работников персонально под роспись.
9.3 Сотрудники при осуществлении операций с персональными данными несут административную, гражданско – правовую, уголовную ответственность за нарушение правил осуществления операций с персональными данными, установленных настоящим положением, а также нормами федерального, регионального и муниципального законодательства РФ.
Директор
АНО ДПО
«Учебный центр «ТриР» Р.В.Кареев
ОЗНАКОМЛЕНЫ :
Кареев Р.Р. ________________
Савина Н.Д.________________
Кареева Л.Р.________________
Мокосеева Н.В.______________
Нетяга Е.А._________________
Буфалов А.Н._______________
Героцкая Т.М._______________
Польская Ю.Е._______________
Кирюшина О.Д.______________
Блошенкова Б.Э._____________