Приказ об организации работы с персональными данными в учреждении
Приказ.pdf (1562656)
Приложение к приказу об организации работы с персональнвми данными в учреждении.
Положение о защите персональных данных работников казенного учреждения социального обслуживания Удмуртской Республики «Социально-реабилитационный центр для несовершеннолетних
г. Ижевска»
В целях обеспечения прав и свобод человека специалистами Центра разработано Положение о защите персональных данных работников.
Положение о защите персональных данных работников казенного учреждения социального обслуживания Удмуртской Республики «Социально-реабилитационный центр для несовершеннолетних г. Ижевска»
1. Общие положения
Настоящее положение о защите персональных данных работников (далее - Положение) казенного учреждения социального обслуживания Удмуртской Республики « Социально-реабилитационный центр для несовершеннолетних г. Ижевска» (далее - Центр) разработано в соответствии с Конституцией РФ; Трудовым кодексом РФ; Гражданским кодексом РФ; Кодексом об административных правонарушениях РФ; Федеральным законом от 27.07.2006г №152-ФЗ «О персональных данных»; Федеральным законом от 25 июля 2011года №261- ФЗ «О внесении изменений в федеральный закон «О внесении изменений в федеральный закон «О персональных данных»; Федеральным законом от 2б.12.2008г №294 - ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»; Федеральным законом от 27.07.2006г №149-ФЗ «Об информации, информационных технологиях и о защите информации»; Указом Президента РФ от 06.03.1997г №188 (ред. от 23.09.2005г) « Об утверждении перечня сведений конфиденциального характера»; Федеральным законом от 28.12.2013 г. № 442-ФЗ "Об основах социального обслуживания градан Российской Федерации", "Уставом Центра.
Цель разработки Положения - определение порядка обработки персональных данных работников Центра: обеспечение защиты прав и свобод работников Центра при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников Центра, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.1. Порядок ввода в действие и изменения Положения.
1.2. Настоящее Положение вступает в силу с момента его утверждения.
1.2.1. Все изменения в Положения вносятся приказом.
1.3. Режим конфиденциальности персональных данных снимается в случаях их обезличивании и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Центра, если иное не определено законом.
2. Основные понятия и состав персональных данных работников
Для целей настоящего Положения используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.;
- В состав персональных данных работников Центра входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.
2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Центре, при его приеме, переводе и увольнении:
2.3.1. Информация, представляемая работником при поступлении на работу в Центр, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета— для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
2.3.2. При оформлении работника в Центре специалистом по кадрам заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и контактных телефонах.
- В отделе кадров Центра создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
- Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Центра, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
- Документация по организации работы структурных подразделений (должностные инструкции работников, приказы, распоряжения, указания руководства Центра); документы по планированию, учету, анализу и отчетности в части работы с персоналом Центра.
2.3.4. Дополнительные материалы, к которым относятся:
- расписка работника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также о его правах и обязанностях.
3. Обработка персональных данных
- В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
- Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
- При определении объема и содержания, обрабатываемых персональных данных работника, работодатель должен руководствоваться Конституцией РФ; Трудовым Кодексом и иными Федеральными законами.
- Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
3.1.4. Все персональные данные работника Центра следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Центра о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника Центра: о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
- Персональные данные работника оформлены на бумажном и/или электронном носителе, и доступны лишь для определенных сотрудников Центра, к ним относятся:
- директор Центра;
- заместители директора;
- специалист по кадрам;
- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения) по согласованию с директором Центра;
- сотрудники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;
- сам работник, носитель информации.
- Использование персональных данных возможно только в соответствии с целями, определившими их получение.
3.3.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан РФ. Ограничение прав граждан РФ на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3.4. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
3.4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы здоровью и жизни работника, а также в случаях, установленных Федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лица, получающие персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
- разрешать доступ к персональным данным работника только специально уполномоченным лицам, определенным приказом работодателя, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы: для выполнения конкретных функций;
3.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных работника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
3.7. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.Защита персональных данных
4.1. Под угрозой или опасностью утраты персональных данных понимается единоличное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленжых возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующие воздействия на защищаемую информацию
4.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
4.3. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет средств, в порядке, установленном Федеральным; законом.
4.4. Внутренняя защита:
4.4.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентации доступа персонала к конфиденциальным сведениям, документам и базам данных, входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами учреждения.
4.4.2. Для обеспечения внутренней защиты персональных данных работника, необходимо соблюдать:
- Защиту данных на бумажных носителях (несгораемые сейфы).
- Защиту информации на электронных носителях:
- Коды;
- Пароли;
- Доступы.
4.5.Внешняя защита
- Для зициты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и другие.
- Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Центра: посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
4.5.3. Для обеспечения внутренней защиты персональных данных работника установлено:
- Круглосуточное дежурство диспетчеров;
- КТС - кнопка тревожной сигнализации;
- Пожарная сигнализация.
5. Права и обязанности работника в области защиты его персональных данных
5.1. В целях обеспечения защиты персональных данных, хранящихся в учреждении, работник имеет право на:
5.1.1. Полную информацию о своих персональных данных и обработке этих данных.
5.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных Федеральным законом.
5.1.3. Определить своих представителей для защиты своих персональных данных.
5.1.4. На сохранение и защиту своей личной и семейной тайны.
5.1.5. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Кодекса.. При отказе учреждения исключить или исправить персональные данные работника он имеет право заявить в письменной форме учреждения о своем несогласии в соответствующем обосновании такого не согласия. Персональные данные оценочного характера работник имеет право пополнить заявлением, выражающим его собственную точку зрения.
5.2. Работник обязан:
5.2.1. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
5.2.2. В целях: защиты частной жизни, личной и семейной тайны, работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.
6.Ответственность за нарушение норм в области обработки персональных данных
6.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
6.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
6.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное решение.
6.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
6.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданскую, правовую или уголовную ответственность в соответствии с Федеральным законом.
6.6. За предоставление заведомо ложных сведений, касающихся персональных данных работника, при заключении трудового договора работники несут ответственность вплоть до увольнения на основании п.11 ст.81 ТК РФ.
6.7. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
6.8. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.