Бесплатные консультации для     родителей

 Записаться:

-г.Тотьма, ул.Клочихина д.2

-Телефон:+79005095756

-Сайт:www.podderjkasemei35.ru

Главное меню

Портал государственных и муниципальных услуг Вологодской области

Персональные данные. Дети

Информация о мерах предосторожности и безопасном поведении на объектах транспорта

Защита персональных данных

Решаем вместе
Есть предложения по организации учебного процесса или знаете, как сделать школу лучше?

Локальные документы

Положение о работе с персональными данными работников 2022

Информация о материале
Опубликовано: 07.11.2022, 16:54
Просмотров: 79

СОГЛАСОВАНО

Советом бюджетного учреждения

«28» февраля 2022 года

протокол № 3

УТВЕРЖДЕНО

приказом директора БУ ВО «Тотемский центр ПМСС»

«28» февраля 2022 года

№4

 

 

ПОЛОЖЕНИЕ

о работе с персональными данными работников Бюджетного учреждения Вологодской области «Тотемский центр психолого-педагогической, медицинской и социальной помощи»

(далее — Положение)

 

  1. ОБЩЕЕ ПОЛОЖЕНИЕ

 

  • Настоящее Положение является локальным нормативным актом, регламентирующим порядок обработки и обеспечения защиты персональных данных работников бюджетного учреждения Вологодской области «Тотемский центр психолого-педагогической, медицинской и социальной помощи» (далее — Учреждение) при их обработке в учреждении, в том числе защиты от несанкционированного доступа, неправомерного их использования или утраты.
  • Настоящее Положение устанавливает порядок получения, учета, обработки, накопления, хранения, передачи документов, содержащих сведения, отнесенные к персональным данным работников Учреждения.
  • Цель настоящего Положения — защита персональных данных работников Учреждения от несанкционированного доступа, неправомерного их использования или утраты.
  • Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
  • Настоящее Положение разработано на основе и в соответствии с:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных

данных» (с последующими изменениями);

- Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации,

информационных технологиях и защите информации» (с последующими

изменениями);

- Постановлением Правительства Российской Федерации от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их

обработке в информационных системах персональных данных»;

постановлением Правительства Российской Федерации от 15 сентября 2008

года № 687 «Об утверждении Положения об особенностях обработки

персональных данных, осуществляемой без использования средств

автоматизации»;

- Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06 марта 1997 года № 188;

- иными нормативными актами, действующими на территории Российской

Федерации.

  1. ОСНОВНЫЕ ПОНЯТИЯ

 

2.1. Работник — субъект персональных данных, физическое лицо, вступившее в трудовые отношения с работодателем.

2.2. Оператор — Бюджетное учреждение Вологодской области «Тотемский центр психолого-педагогической, медицинской и социальной помощи», самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника; любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2.4. Обработка персональных данных работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

2.6. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.7. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.8. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.9. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.10. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (ст. 3 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).

2.11. Информационная система персональных данных — совокупность

содержащихся в базах данных персональных данных и обеспечивающих их

обработку информационных технологий и технических средств.

 

  1. 3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

 

3.1. К персональным данным работников, получаемым и обрабатываемым оператором, подлежащим хранению у оператора в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие документы, содержащиеся в личных делах работников:

- данные паспорта работника;

- данные страхового свидетельства государственного пенсионного страхования работника;

- копия документа воинского учета работника (для военнообязанных и лиц, подлежащих призыву на военную службу);

- данные ИНН работника;

- копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);

- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в т.ч. автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);

- иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия;

- трудовой договор (дополнительные соглашения о внесении изменений и дополнений в него);

- копии приказов о приеме, переводах, увольнении, изменении заработной платы, стимулирующих выплатах, премировании, поощрениях и взысканиях;

- личная карточка по форме Т-2;

- заявления, объяснительные и служебные записки работника;

- документы о прохождении работником аттестации, собеседования,

повышения квалификации (аттестационный лист);

- копии документов о награждении и поощрении работников;

- иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником.

3.2. Персональные данные работников Учреждения содержатся также в трудовых книжках, медицинских справках, листах нетрудоспособности, основаниях к приказам по личному составу, портфолио, иных документах, содержащих сведения конфиденциального характера в соответствии с указом Президента Российской Федерации от 06 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера» (с последующими изменениями).

3.3. Документы, содержащие персональные данные работников, создаются путем:

- копирования оригиналов;

- внесения сведений в учетные формы (на бумажных и электронных носителях);

- получения оригиналов необходимых документов.

  1. 4. ЦЕЛИ, ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

4.2. Принципы обработки персональных данных:

4.2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

4.2.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.2.5. Содержание и объем обрабатываемых персональных данных должны

соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.2.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить работника, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является работник. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.3. Условия обработки персональных данных:

4.3.1 Обработка персональных данных допускается в следующих случаях:

- обработка персональных данных осуществляется с согласия работника на

обработку его персональных данных;

- обработка персональных данных необходима для осуществления и

выполнения возложенных законодательством Российской Федерации на

работодателя функций, полномочий и обязанностей;

- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

- обработка персональных данных необходима для исполнения трудового договора, стороной которого является работник;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов работодателя или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы работника;

- обработка персональных данных необходима для научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.2.1. Оператор вправе поручить обработку персональных данных другому лицу с согласия работника, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующим и изменениями) (далее —Федеральный закон «О персональных данных»), соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных». В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные Федеральным законом «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных законом, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями закона.

4.3.2. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие работников на обработку его персональных данных.

4.3.3. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед работником за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

  1. 5. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. При определении объема и содержания обрабатываемых персональных данных работника оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами Российской Федерации.

5.2. Все персональные данные работника следует получать у него самого. Работник дает письменное согласие на обработку и передачу персональных данных (приложение 1 к Положению).

5.3. При получении персональных данных оператор сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

5.4. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить работнику юридические последствия отказа предоставить его персональные данные, а также отказа дать согласие на их обработку.

5.5. Оператор не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.

5.6. Оператор не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

5.7. При принятии решений, затрагивающих интересы работника, оператор не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.8. При сборе персональных данных оператор обязан предоставить работнику по его просьбе информацию, содержащую:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые работодателем способы обработки персональных данных;

- наименование и место нахождения Учреждения, сведения о лицах оператора (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с работодателем или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему работнику, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

 - порядок осуществления работником прав, предусмотренных Федеральным законом «О персональных данных»;

- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена такому лицу;

- иные сведения, предусмотренные федеральными законами Российской Федерации.

Эти сведения предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

5.9. В целях обеспечения достоверности персональных данных работники обязаны:

- при приеме на работу в Учреждение представлять о себе достоверные сведения в порядке и объеме, предусмотренном законодательством Российской Федерации;

- в случае изменения персональных данных работника (фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей) и т.п.) сообщать об этом оператору в разумные сроки.

5.10. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие (приложение 2 к Положению).

5.11. Если персональные данные получены не от работника, оператор, за исключением случаев, предусмотренных п. 5.12 настоящего Положения, до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

- наименование и адрес Учреждения;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

- источник получения персональных данных.

5.12. Оператор освобождается от обязанности предоставить работнику сведения, предусмотренные п. 5.11 настоящего Положения, в случаях, если:

- работник уведомлен об осуществлении обработки его персональных данных оператором;

- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является работник;

- обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных»;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы работника;

- предоставление оператору сведений, предусмотренных п. 5.11 настоящего Положения, нарушает права и законные интересы третьих лиц.

  1. 6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить работника, не дольше, чем этого требуют цели обработки персональных данных, и они подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении.

6.2. Персональные данные могут храниться на бумажном, электронных носителях в специально предназначенных для этого помещениях, определенных приказом директора Учреждения.

6.3. Оператор обеспечивает хранение первичной учетной документации по учету труда и его оплаты. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. Персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

6.4. В процессе хранения персональных данных работников необходимо

обеспечивать:

- требования законодательства, устанавливающие правила хранения конфиденциальных сведений;

- сохранность имеющихся данных, ограничение доступа к ним в соответствии с законодательством Российской Федерации и настоящим Положением;

- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

  1. 7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. Доступ к персональным данным работников в Учреждении разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

7.2. Список лиц, уполномоченных на получение и доступ к персональным данным работников, утверждается приказом директора Учреждения.

7.3. Право доступа к персональным данным работников Учреждения имеют:

- директор Учреждения;

- работник, чьи персональные данные подлежат обработке;

- работники, уполномоченные в соответствии с приказом на получение и доступ к персональным данным работников.

7.4. В целях обеспечения надлежащего выполнения трудовых обязанностей доступ к персональным данным работника может быть предоставлен на основании приказа директора Учреждения иному работнику, должность которого не включена в список лиц, уполномоченных на получение и доступ к персональным данным.

7.5. Работники, осуществляющие обработку персональных данных, должны быть уведомлены в письменной форме о своей обязанности не разглашать персональные данные работников, к которым они получили доступ (приложение 3 к Положению).

7.6. Оператор обязан сообщить в порядке, предусмотренном Федеральным законом «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также представить возможность ознакомления с этими персональными данными при обращении работника или его представителя в течение десяти рабочих дней с даты получения запроса работника или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.7. Работник имеет право на получение следующих сведений:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему работнику, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- иные сведения, предусмотренные федеральными законами.

7.8. Право работника на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

7.9. По письменному заявлению работника работодатель обязан не позднее трех дней со дня подачи заявления выдать трудовую книжку, копии документов, связанных с работой (копии приказов о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у оператора и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом, и предоставляться работнику безвозмездно.

7.10. Юридическим и физическим лицам, оказывающим услуги Учреждению на основании заключенных гражданско-правовых договоров (либо на иных основаниях), которым необходим доступ к персональным данным работников Учреждения в связи с выполнением ими обязательств по указанным договорам, соответствующие данные могут предоставляться оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации. В исключительных случаях, исходя из договорных отношений с третьими лицами, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работников.

7.11. Получателями персональных данных работника вне Учреждения на законном основании являются органы пенсионного обеспечения, органы социального страхования, определяемые в соответствии с федеральными законами о конкретных видах обязательного социального страхования; органы прокуратуры и другие правоохранительные органы; налоговые органы; федеральная инспекция труда; профессиональные союзы, а также иные органы и организации в соответствии с федеральными законами.

7.12. Оператор не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом Российской Федерации или иными федеральными законами.

7.13. В случае, если необходима передача персональных данных лицам, не указанным в п. 7.10 настоящего Положения, то работник дает письменное согласие на передачу персональных данных третьей стороне по установленной форме (приложение 4 к Положению).

7.14. Оператор обязан передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

7.15. Любые лица, обладающие доступом к персональным данным работников Учреждения, обязаны соблюдать режим секретности (конфиденциальности) их использования и защиты. Лица, получившие персональные данные работника на законном основании, обязаны использовать их исключительно в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

7.16. Официальный сайт Учреждения в сети Интернет, информационные стенды являются общедоступными источниками персональных данных. В общедоступные источники персональных данных с письменного согласия работников (приложение 5 к Положению) могут включаться его фамилия, имя, отчество, сведения о профессии и иные персональные данные, сообщаемые работником.

7.17. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию работников либо по решению суда или иных уполномоченных государственных органов.

  1. 8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

8.1. Защита персональных — данных работников представляет собой регламентированный технологический, организационный и иной процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных работников Учреждения и обеспечивающий надежную безопасность информации.

8.2. Защита персональных данных работников от неправомерного их использования или утраты обеспечивается оператором за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.

8.3. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.4. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами. К таким мерам относятся:

- назначение оператором ответственного за организацию обработки персональных данных;

- издание оператором, являющегося юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями действующего законодательства;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных вышеуказанным Федеральным законом;

- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

8.6. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

8.6. Обеспечение безопасности персональных данных достигается:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

 - установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.7. Защита сведений, хранящихся в персональных компьютерах оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.

8.8. Для обеспечения внешней защиты персональных данных работников Учреждение обеспечивает порядок приема, учета и контроля деятельности посетителей; организует пропускной режим; обеспечивает охрану территории, зданий, помещений, транспортных средств.

8.9. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

8.10. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках Учреждения.

8.11. Передача информации, содержащей сведения о персональных данных работников организации по телефону, факсу, электронной почте без письменного согласия работника запрещается.

8.12. Заполнение документации, содержащей персональные данные работников, осуществляется в соответствии с унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными соответствующими нормативно-правовыми актами Российской Федерации.

8.13. В целях обеспечения соблюдения режима конфиденциальности персональных данных в Учреждении ведутся следующие учетные документы движения персональных данных работников:

- журнал учета внутреннего доступа к персональным данным работников в Учреждении (приложение 5 к Положению);

- журнал учета выдачи персональных данных работников Учреждения организациям и государственным органам (журнал учета внешнего доступа к персональным данным работников) (приложение 6 к Положению);

- журнал проверок наличия документов, содержащих персональные данные (приложение 8 к Положению);

- журнал учета применяемых носителей информации (приложение 9 к Положению).

8.14. В целях обеспечения сохранности документов по личному составу увольняемых работников в случае реорганизации и ликвидации организации, а также социальной защищенности граждан, выполняющих работу по трудовому договору, включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременную передачу их на государственное хранение при реорганизации или ликвидации юридического лица на основании распоряжения Правительства Российской Федерации от 21 марта 1994 года № 358-р «Об обеспечении сохранности документов по личному составу».

8.16. В случае реорганизации или ликвидации организации учет и сохранность документов по личному составу, порядок передачи их на государственное хранение осуществлять в соответствии с Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации». В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных работником или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора).

8.17. При выявлении неправомерных действий с персональными данными работника (неправомерной или случайной передачи, предоставления, распространения, доступа) оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных в порядке и в сроки, установленные статьей 21 Федерального закона «О персональных данных».

8.18. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в статье 21 Федерального закона «О персональных данных», оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.19. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению работодателя). Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока.

  1. 9. ПРАВА РАБОТНИКОВ

9.1. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

- полную информацию об их персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. При отказе оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.

9.2. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

  1. 10. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

10.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке,  установленном федеральными законами.

10.2. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работник несет дисциплинарную и материальную ответственность в порядке, установленном Трудовым кодексом Российской Федерации, и иную юридическую ответственность в порядке, установленном федеральным законом.

10.3. Лица, в обязанность которых входит ведение персональных данных работников, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом Российской Федерации об административных правонарушениях.

  1. 11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Настоящее Положение, изменения и дополнения к нему согласуются с Управляющим Советом и первичной профсоюзной организацией Учреждения, утверждаются директором Учреждения и вводятся приказом директора Учреждения.

11.2. Изменения и дополнения в настоящее Положение вносятся с учетом требований Трудового кодекса для принятия локальных нормативных актов.

11.3. Настоящее Положение, изменения и дополнения к нему доводятся до сведения работников Учреждения персонально под роспись.

11.4. Настоящее Положение вступает в силу с момента его утверждения и подписания директором Учреждения.

Вложения:
Скачать этот файл (Положение о работе с персональными данными работников 2022.pdf)Положение о работе с персональными данными работников 2022.pdf[ ]379 Кб