«УТВЕРЖДАЮ»
Генеральный директор
АНО ДПО «СУМЦ «ФАКТ»
______________ Седин В.А.
____________________
Положение
о защите персональных данных работников, обучающихся (слушателей) АНО ДПО «СУМЦ «ФАКТ»
1.Общие положения
Положение о защите персональных данных работников, обучающихся (слушателей) (далее - Положение) в АНО ДПО «СУМЦ «ФАКТ» разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации (далее ТК РФ), Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. №149-ФЗ, «О персональных данных» от 27 июля 2006г. №152-ФЗ, «О внесении изменений в Федеральный закон «О персональных данных» от 25 ноября 2009г. №266-ФЗ, Типовым положением об образовательном учреждении дополнительного профессионального образования и иными нормативными правовыми актами.
Настоящее Положение является локальным нормативным актом и определяет основные требования к порядку получения, хранения, использования и передачи (далее - обработке) персональных данных работников, обучающихся (слушателей) АНО ДПО «СУМЦ «ФАКТ», обеспечивает защиту прав и свобод работников, обучающихся (слушателей) АНО ДПО «СУМЦ «ФАКТ» при обработке их персональных данных, а также устанавливает ответственность должностных лиц, имеющих доступ к персональным данным работников, обучающихся (слушателей) за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Настоящее Положение вступает в силу с момента утверждения его директором АНО ДПО «СУМЦ «ФАКТ» и действует бессрочно, до замены его новым Положением. Все изменения в Положение вносятся приказом.
Настоящее Положение является локальным нормативным актом и все работники, обучающиеся (слушатели) должны быть ознакомлены с настоящим Положением.
Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения.
Персональные данные работников, обучающихся (слушателей) относятся к категории конфиденциальной информации.
В настоящем Положении используются следующие основные понятия и термины:
- Персональные данные работника, обучающегося (слушателя) – любая информация, относящаяся к определённому или определяемому на основании такой информации работнику, обучающемуся (слушателю), в том числе его:
- фамилии, имени, отчестве, дате рождения,
- паспортных данных;
-образовании, ученой степени;
- месте работы и занимаемой должности;
- адресе и контактных данных;
- ИНН, СНИЛС
и другая информация, необходимая работодателю в связи с трудовыми отношениями с работником или необходимая для организации процесса обучения;
- Обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), блокирование, уничтожение;
- Оператор – юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных работника, обучающихся (слушателей), а также определяющее цели и содержание обработки персональных данных;
- Защита персональных данных – комплекс мер технического, организационного и организационно-технического, правового характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных);
- Конфиденциальность персональных данных – обязательное для соблюдения назначенными ответственными лицами, получивших доступ к персональным данным работников, обучающихся (слушателей), требование не допускать их распространения без согласия работника, обучающегося (слушателя);
- Распространение персональных данных – действия, направленные на передачу персональных данных субъекта персональных данных определённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение их в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным субъектов персональных данных каким-либо иным способом;
- Использование персональных данных–действия (операции) с персональными данными, совершаемые должностным лицом Учреждения в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников, обучающихся (слушателей) либо иныь образом затрагивающих их права и свободы или права и свободы других лиц;
- Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъекта персональных данных, в том числе их передачи;
- Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников, обучающихся (слушателей) или в результате которых уничтожаются материальные носители персональных данных работников, обучающихся (слушателей);
- Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность конкретному работнику, обучающемуся (слушателю);
- Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника, обучающегося или на которые в соответствии с федеральными законами не распространяется требование конфиденциальности;
- Информация – сведения (сообщения, данные) независимо от формы их представления;
-Документированная информация – зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или её материальный носитель;
1.9 В целях организации документирования работы по защите персональных данных работников, обучающихся (слушателей) настоящее Положение включает следующие приложения:
- Приложение 1. Заявление о согласии на обработку персональных данных.
- Приложение 2 Заявление на обработку персональных данных обучающихся.
- Приложение 3 Отзыв согласия на обработку персональных данных.
- Приложение 4 Уведомление.
- Приложение 5 Обязательство о неразглашении персональных данных работников.
2. Состав персональных данных работников, обучающихся (слушателей).
2.1 К персональным данным работников, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие документы, содержащиеся в личных делах работников:
- копия паспорта;
- копия страхового свидетельства государственного пенсионного страхования;
- копия свидетельства о постановке на учёт физического лица в налоговом органе на территории Российской Федерации;
- трудовая книжка;
- копия документа воинского учёта (для военнообязанных и лиц, подлежащих призыву на военную службу);
- копия документа об образовании, квалификации или наличия специальных знаний (при
поступлении на работу, требующую специальных знаний или специальной подготовки);
- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в т.ч. автобиография, сведения о семейном положении работника, перемене фамилии, наличии
детей и иждивенцев);
- иные документы, которые с учётом специфики работы и в соответствии с законодательством РФ должны быть предъявлены работником при заключении трудового договора или в период его действия;
- трудовой договор (соглашения о внесении изменений и дополнений в него);
- документы, подтверждающие наличие льгот;
- копии приказов о приёме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
- личная карточка по форме Т-2;
- заявления, объяснительные и служебные записки;
- документы о прохождении работником аттестации, собеседования, повышения квалификации (аттестационный лист);
- копии документов о наградах, присвоении почётных и специальных званий.
2.2. К персональным данным обучающихся (слушателей), получаемым Организациям и подлежащим хранению в Учреждении в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие документы, содержащиеся в личных делах обучающихся (слушателей):
- Копия паспорта
- анкетные данные, предоставляемые при поступлении в организация для обучения;
2.3. Персональные данные субъектов персональных данных содержатся в основном документе персонального учёта – личном деле работника, обучающихся (слушателей).
2.4. Документы, содержащие персональные данные работников, обучающихся (слушателей) создаются путём:
- копирования оригиналов;
- внесения сведений в учётные формы (на бумажных и электронных носителях);
- получения оригиналов, необходимых документов.
2.5. Личное дело работника формируется после издания приказа о его приёме на работу в организация.
2.5.1. Первоначально в личное дело работника группируются документы, содержащие персональные данные работника, в порядке, отражающем процесс приёма на работу в организация.
2.5.2. Все документы личного дела работника подшиваются , на обложке должны быть фамилия, имя, отчество работника.
2.5.3. В каждом личном деле работника ведётся опись, куда заносятся наименования всех подшитых документов, дата их включения в дело, количество листов, а также изъятия документов из дела с указанием лица, изъявшего документ и причину изъятия. В случае временного изъятия документа вместо него вкладывается лист-заменитель. Изъятие документов из личного дела производится исключительно с разрешения специалиста по кадрам.
2.5.4. Все документы, поступившие в личное дело работника, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
2.5.5. Анкета работника является основным документом его личного дела, представляющим собой перечень вопросов о биографических данных работника, его образовании, выполняемой работе с начала трудовой деятельности, семейном положении, месте прописки или проживания и т.п. Анкета заполняется работником самостоятельно при оформлении приёма на работу. При заполнении анкеты используются следующие документы: паспорт, трудовая книжка, военный билет, документы об образовании, аттестационный лист, документы о присвоении учёной степени, учёного звания. Анкета подписывается лицом, принимаемым на работу и специалистом по кадрам после сверки сведений, занесённых в анкету, с соответствующими документами и заверяется печатью.
2.5.6. Копии всех документов заверяются личной подписью специалиста по кадрам или секретаря или лица его замещающего после сверки их с подлинниками документов.
2.5.7. В дальнейшем личное дело пополняется документами, возникающими в процессе трудовой деятельности работника. Личное дело ведётся на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке). Специалист по кадрам, ответственный за документационное обеспечение кадровой деятельности, принимает от принимаемого на работу работника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами.
2.6. Личное дело работника включает:
- анкетно-биографические и характеризующие материалы (анкета);
- копии документов об образовании;
- заявление работника о приёме на работу;
- копия приказа о приёме на работу, перевода га другую работу, должность;
- трудовой договор;
- дополнительное соглашение к трудовому договору;
- копии документов о присвоении почётных званий, учёной степени, награждении
государственными наградами,
- аттестационные листы;
- копии приказов о поощрениях, взысканиях, присвоении квалификационной категории;
- сведения о профессиональной переподготовке, повышении квалификации;
- характеристики и рекомендательные письма;
- заявление работника об увольнении;
- копию приказа об увольнении;
- согласие на обработку персональных данных.
Нахождение других документов в личном деле – нецелесообразно.
2.7. Личное дело обучающегося (слушателя) формируется после издания приказа о его приёме в организация.
2.7.1. Первоначально в личное дело группируются документы, содержащие персональные данные обучающегося (слушателя) в порядке, отражающем процесс приёма в организация.
2.7.2. Все документы личного дела обучающегося (слушателя) собираются в обложку образца, установленного в учреждении. На обложке должны быть фамилия, имя, отчество обучающегося (слушателя). Личному делу присваивается номер, который зафиксирован в алфавитной книге. Номер личного дела проставляется на обложке дела.
2.7.3. Личное дело обучающегося (слушателя)обучающегося (слушателя) включает документы, определённые Правилами приёма в организация.
3. Основные условия проведения обработки персональных данных работников, обучающегося (слушателя)
3.1. При определении объёма и содержания обрабатываемых персональных данных работников, обучающихся (слушателей) необходимо руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
3.2. Обработка персональных данных работников, обучающихся (слушателей) может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных актов, содействия работникам в обучении, продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества.
3.3. Персональные данные следует получать у самого работника, обучающегося (слушателя). Если персональные данные возможно получить у третьей стороны, то работник должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие.
3.4. Работодатель не имеет право получать персональные данные работников, обучающихся (слушателей) об их политических, религиозных и иных убеждениях, частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта персональных данных, могут быть получены и обработаны работодателем только с его письменного согласия.
3.5. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях, профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
3.6. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или, если персональные данные являются общедоступными), работодатель обязан предоставить работнику следующую информацию:
- наименование (Ф.И.О.) и адрес оператора или его представителя;
- цель обработки персональных данных и её правовое основание;
- предполагаемые пользователи персональных данных;
- установленные законодательством права субъектов персональных данных.
3.8. Обработка указанных персональных данных работников работодателем возможна без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные являются относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья и иных жизненно важных интересов или иных жизненно важных интересов других лиц и получения согласия работника невозможно;
- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законам.
3.9. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.10. Администрация учреждения вправе обрабатывать персональные данные работников, обучающихся (слушателей) только с их письменного согласия, либо согласия законного и полномочного представителя.
3.11. Согласия субъекта персональных данных не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании ТК РФ или иного федерального закона, устанавливающего её цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия администрации Учреждения;
- обработка персональных данных осуществляется в целях исполнения трудового договора, исполнения Устава учреждения;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.
3.12. Работники, обучающиеся или их законные представители должны быть ознакомлены под роспись с документами учреждения, устанавливающими порядок обработка их персональных данных осуществляется в целях, а также их правах и обязанностях в этой области.
3.1.3. Во всех случаях отказ субъекта персональных данных от своих прав на их сохранение и защиту тайны недействителен.
4. Хранение и передача персональных данных работников, обучающихся (слушателей)
4.1. Персональные данные работников, обучающихся (слушателей)учреждения хранятся на бумажных и электронных носителях в специально предназначенном для этого помещении.
4.2. В процессе хранения персональных данных работников, обучающихся (слушателей) необходимо обеспечивать:
- требования законодательства, устанавливающие правила хранения конфиденциальных
сведений;
- сохранность имеющихся данных, ограничение доступа к ним в соответствии
законодательством РФ и настоящим Положением:
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и
внесение по мере необходимости соответствующих изменений.
4.3. Доступ к персональным данным работников, обучающихся (слушателей) разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
4.4. Внутренний доступ к персональным данным работников, обучающихся (слушателей) в учреждении осуществляется в соответствии со списком лиц, уполномоченных на получение и доступ к персональным данным, утверждённым приказом директора учреждения.
4.5. Право внутреннего доступа к персональным данным работников, обучающихся (слушателей)
Учреждения имеют:
- директор учреждения;
- работник, чьи персональные данные подлежат обработке;
- работники, уполномоченные в соответствии с приказом на получение и доступ к
персональным данным работников, обучающихся (слушателей).
4.6.В целях обеспечения надлежащего выполнения трудовых обязанностей доступ к персональным данным работников, обучающихся (слушателей) может быть предоставлен на основании приказа директора учреждения иному работнику, должность которого не включена в список лиц, уполномоченных на получение т доступ к персональным данным. Доступ к персональным данным работников без специального разрешения может быть предоставлен работникам, занимающим в учреждении должности заместителя директора, главного бухгалтера, специалиста по кадрам, руководителям структурных подразделений.
4.7. Юридическим и физическим лицам, оказывающим услуги учреждению на основании заключённых гражданско-правовых договоров (либо на иных основаниях), которым необходим доступ к персональным данным работников учреждения в связи с выполнением ими обязательств по указанным договорам, соответствующие данные могут предоставляться работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации.
4.8. Работники, осуществляющие обработку персональных данных, должны быть уведомлены в письменной форме о своей обязанности не разглашать персональные данные работников, обучающихся (слушателей) к которым они получили доступ.
4.9. Получателями персональных данных работника вне учреждения на законном основании являются органы пенсионного обеспечения, органы социального страхования, определяемые в соответствии с федеральными законами о конкретных видах социального страхования; органы прокуратуры и другие правоохранительные органы; налоговые органы; федеральная инспекция труда; профессиональные союзы, а также иные органы и организации в соответствии с федеральными законами.
4.10. Работодатель не может сообщать персональные данные работников, обучающихся (слушателей) третьей стороне без письменного согласия субъекта персональных данных либо его законного представителя за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, обучающегося (слушателя), в также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
4.11. Работодатель обязан передавать персональные данные работников, обучающихся (слушателей) их представителям в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, обучающегося (слушателя), которые необходимы для выполнения указанными представителями их функций.
4.12. Любые лица, имеющие доступ кперсональным данным работников, обучающихся (слушателей) учреждения, обязаны соблюдать специальный режим их использования и защиты. Лица, получившие персональные данные работника, обучающегося (слушателя) на законном основании, обязаны использовать их исключительно в целях, которые заявлялись при запросе соответствующей информации, а также не разглашать такую информацию (исключения из данного правила определяются только федеральными законами). Лицо, которое получает личное дело другого работника, обучающегося (слушателя) во временное пользование, не имеет права делать в нём какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
4.13. В целях обеспечения соблюдения режима конфиденциальности персональных данных в учреждении ведутся следующие учётные документы движения персональных данных работников, обучающихся (слушателей)
- журнал учёта внутреннего доступа к персональными данными работника, обучающегося
(слушателя) в учреждении;
- журнал учёта выдачи персональных данных работников, обучающихся (слушателей)
5. Способы защиты персональных данных работников
5.1. Защита персональных данных работников, обучающихся (слушателей) представляет собой регламентированный технологический, организационный и иной процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных работников, обучающихся (слушателей) персональных данных работников, обучающихся (слушателей) учреждения и обеспечивающий надёжную безопасность информации.
5.2.Защита персональных данных работников, обучающихся (слушателей) от неправомерного их использования или утраты обеспечивается директором организации за счёт его средств в порядке, установленном федеральным законом.
5.2. Для обеспечения внутренней защиты персональных данных работников, обучающихся (слушателей) директор организации:
- регламентирует состав работников, функциональные обязанности которых требуют
соблюдения режима конфиденциальности;
- избирательно и обоснованно распределяет документы и информацию между работниками,
имеющими доступ к персональным данным;
- своевременно обеспечивает работников информацией о требованиях законодательства по
защите персональных данных;
- обеспечивает организацию порядка уничтожения информации;
- проводит разъяснительную работу дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между директором учреждения и работником или их законными представителями.
6. Права работников, обучающихся (слушателей), их законных представителей в целях обеспечения защиты персональных данных, хранящихся учреждении.
6.1. В целях защиты персональных данных, хранящихся в учреждении, субъекты персональных данных имеют право на бесплатное получение полной информации о:
- лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечне обрабатываемых персональных данных и источниках их получения;
- сроках обработки персональных данных, в том числе сроках их хранения;
- юридических последствиях обработки их персональных данных.
6.2. Субъекты персональных данных имеют право на:
- бесплатное получение полной информации о своих персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, в том числе на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе директора учреждения исключить или исправить выявленные недочёты, субъект персональных данных имеет право в письменной форме заявить о своём несогласии;
- обжаловании в судк любых неправомерных действий или бездействий директора учреждения при обработке персональных данных.
7. Обязанности субъектов персональных данных
7.1. В целях обеспечения достоверности персональных данных работники, обучающиеся (слушатели) или их представители обязаны:
- при приёме на работу или включения в процесс обучения представлять достоверные сведения в порядке и объёме, предусмотренном законодательством РФ;
- в случае изменения персональных данных (фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья) сообщать об этом работодателю в разумные сроки.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников, обучающихся (слушателей)
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, с также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
8.2. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работник несёт дисциплинарную и материальную ответственность в порядке, установленном ТК РФ и ирную юридическую ответственность в порядке, установленном федеральным законом.
8.3. Лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечёт наложение на должностных лиц административного штрафа в размере, определяемом Кодексом РФ об административных правонарушениях.
9. Заключительные положения
9.1. Директор организации обязан ознакомить работников, обучающихся (слушателей) или их представителей с настоящим Положением, а также с внесёнными в него изменениями и дополнениями.
9.2. Изменения и дополнения в настоящее Положение вносятся в порядке, установленном ТК РФ для принятия локальных нормативных актов.