Настоящее Положение разработано на основании Конституции Российской Федерации, Федерального закона от 19 декабря 2005 года №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и призвано обеспечить права работников
Общества с ограниченной ответственностью «Центр развития негосударственных организаций» (ОГРН 1027806878527, ИНН 7813134194, КПП 784001001), зарегистрированного по адресу: город Санкт-Петербург, проспект Лиговский, дом 87, литер А, помещение 23Н нежил. пом. №5 (далее – Центр РНО), а также иных лиц при обработке их персональных данных.
1. Основные понятия.
1.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»).
1.2. Порядок работы с обращениями граждан регламентирован Федеральным законом Российской Федерации от 2 мая 2006 г. №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
1.3. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 Трудового кодекса Российской Федерации).
1.4. Обработка персональных данных работников и иных физических лиц (клиентов, контрагентов, партнеров, добровольцев и пр.) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5. К персональным данным работника, получаемым Центром РНО
и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения:
- фамилия, имя, отчество;
- место, год и дата рождения;
- адрес регистрации;
- адрес фактического места жительства;
- паспортные данные (серия, номер паспорта, кем и когда выдан);
- информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- информация о трудовой деятельности до приема на работу;
- информация о трудовом стаже (место работы, должность, период работы, основания увольнения);
- абонентские телефонные номера (домашний, рабочий, мобильный);
- адрес электронной почты;
- семейное положение и состав семьи (муж/жена, дети);
- информация о знании иностранных языков;
- информация о расчетных счетах;
- оклад;
- данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и дата документа об изменениях в трудовом договоре, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
- сведения об отношении к воинской обязанности (состояние на воинском учете, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
- сведения о постановке на учет в налоговом органе (ИНН);
- сведения об аттестации работника;
- сведения о повышении квалификации;
- сведения о наградах, медалях, поощрениях, почетных званиях;
- информация о приеме на работу, перемещении по должности, увольнении;
- информация об отпусках;
- информация о командировках;
- информация о негосударственном пенсионном обеспечении;
- иные документы, содержащие сведения о работнике, которые необходимы для корректного документированного оформления договорных отношений с работником.
1.6. Перечень персональных данных физических лиц, не являющихся работниками Центра РНО (клиентов, контрагентов, партнеров и иных физических лиц), определяется Центром РНО в зависимости от характера правоотношений между Центром РНО и субъектом персональных данных в соответствии с действующим законодательством.
2. Основные условия осуществления обработки персональных данных.
2.1. Центр РНО определяет объем, содержание обрабатываемых персональных данных работников и иных физических лиц, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
2.2. Обработка персональных данных работников
осуществляется Центром РНО
исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.
Центр РНО осуществляет обработку персональных данных работников при наличии письменного согласия субъекта персональных данных, за исключением предусмотренных действующим законодательством случаев, когда наличие письменного согласия субъекта персональных данных не требуется.
2.3. Обработка Центром РНО персональных данных клиентов, контрагентов, партнеров и иных физических лиц осуществляется лишь в тех целях и объеме, в которых этого требует установление и реализация правоотношений между Центром РНО и субъектом персональных данных, в соответствии с действующим законодательством.
Центр РНО осуществляет обработку персональных данных клиентов, контрагентов, партнеров и иных физических лиц при наличии письменного согласия субъекта персональных данных, за исключением предусмотренных действующим законодательством случаев, когда наличие письменного согласия субъекта персональных данных не требуется.
2.4. Все персональные данные предоставляются субъектом персональных данных. Если персональные данные субъекта возможно получить только у третьей стороны, то Центр РНО обязан заранее уведомить об этом субъекта персональных данных и получить его письменное согласие. Центр РНО обязан сообщить субъекту персональных данных о целях и правовом основании их обработки, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их обработку, разъяснить предусмотренные федеральным законом права субъекта персональных данных.
2.5. Центр РНО не имеет права получать и обрабатывать персональные данные субъекта (работника или иного физического лица) о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия.
2.6. Центр РНО не имеет права получать и обрабатывать биометрические персональные данные субъектов (характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность), в том числе фото- и видеоизображения, без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законом.
2.7. Центр РНО не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
2.8. Работники или их представители обязаны быть ознакомлены под роспись с настоящим Положением, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
2.9. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные (Приложение №1).
2.10. Центр РНО обеспечивает неограниченный доступ к настоящему Положению путем предоставления его копии для ознакомления по устному или письменному запросу физических или юридических лиц. При наличии у Центра РНО официального сайта в информационно-телекоммуникационной сети «Интернет», текст настоящего Положения размещается в открытом доступе на данном сайте. Центр РНО вправе разместить текст настоящего Положения для неограниченного доступа на иных сайтах в информационно-телекоммуникационной сети «Интернет» или опубликовать в средствах массовой информации.
Перед получением от субъекта персональных данных (работника, клиента, контрагента, партнера или иного физического лица) письменного согласия на обработку его персональных данных, Центр РНО обеспечивает его возможность ознакомиться с настоящим Положением. В случае если впоследствии субъект персональных данных дает письменное согласие на обработку его персональных данных, в текст письменного согласия вносится отметка о том, что субъект персональных данных ознакомлен с настоящим Положением.
2.11. Субъекту персональных данных, дающему письменное согласие на обработку его персональных данных, разъясняется порядок его отзыва, а также то, что в случае отзыва субъектом своего согласия на обработку персональных данных, их обработка может быть продолжена Центром РНО при наличии оснований, предусмотренных федеральным законом.
2.12. Работникам Центра РНО запрещается ввод персональных данных в информационные системы под диктовку, а также обработка персональных данных в присутствии лиц, не допущенных к их обработке. Мониторы ПЭВМ должны быть расположены таким образом, чтобы исключить возможность просмотра персональных данных, отображаемых на экране, лицами, не допущенными к обработке персональных данных.
3. Хранение персональных данных.
3.1. Персональные данные работников и иных физических лиц хранятся в бумажном виде в папках у главного бухгалтера Центра РНО
в специально отведенных шкафах. Вход в кабинет главного бухгалтера и доступ к персональным данным разрешен только работникам Центра РНО, допущенным к обработке персональных данных.
Персональные данные работников и иных физических лиц могут также храниться в электронном виде на локальных компьютерах, подключенных к локальной компьютерной сети. Локальная компьютерная сеть Центра РНО имеет возможность подключения к информационно-телекоммуникационной сети «Интернет».
Рабочие места, на которых обрабатываются персональные данные работников, расположены в отдельных помещениях, с ограниченным доступом. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается на рабочих местах Центра РНО, подключение к сети Интернет защищено с помощью программного обеспечения Центра РНО.
Приказом Генерального директора назначается лицо, ответственное за организацию обработки персональных данных.
Лицо, ответственное за обработку персональных данных, выдает ключи аутентификации под роспись сотрудникам, имеющим доступ к персональным данным работников.
Лицо, ответственное за обработку персональных данных, производит замену ключей аутентификации не реже 1 раза в 6 месяцев.
3.2. Доступ работников к персональным данным осуществляется согласно списку, утверждаемому приказом Генерального директора.
3.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя организации или лица, ответственного за обработку персональных данных.
3.4. Для защиты персональных данных сотрудников и иных физических лиц осуществляется порядок учета и контроля посетителей в помещениях Центра РНО. Учет посетителей ведется в соответствующем журнале. Прием посетителей разрешен только в тех помещениях, где не хранятся персональные данные и не производится их обработка.
3.5. Для передачи персональных данных используются учтенные носители информации (съемные жесткие диски, flash-карты и др.). Учет носителей информации отражен в Журнале поэкземплярного учета носителей информации.
4. Права и обязанности работников в области обработки персональных данных.
4.1. Работники обязаны:
- передавать работодателю или его представителю комплект достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом Российской Федерации;
- своевременно сообщать работодателю об изменении своих персональных данных.
4.2. Работники имеют право на:
- получение полной информации о своих персональных данных и их обработке;
- определение своих представителей для защиты своих персональных данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- требование об исключении или исправлении (уточнении) неверных или неполных персональных данных, а также данных, обработанных с нарушением Трудового кодекса Российской Федерации;
- требование об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
5. Конфиденциальность, передача, трансграничная передача персональных данных.
5.1. При передаче персональных данных субъектов (работников и иных физических лиц) Центр РНО обязан соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
5.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.3. К числу массовых потребителей персональных данных вне Центра РНО относятся государственные и негосударственные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в рамках своей компетенции.
5.4. Организации, в которые работник может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только с его письменного разрешения.
5.5. Деятельность Центра РНО
может включать в себя реализацию различных программ или проектов, финансирование которых осуществляется за счет средств иностранных граждан, организаций, органов власти иностранных государств. В рамках отчетности о реализации вышеуказанных программ или проектов Центр РНО может осуществлять, в том числе, трансграничную передачу персональных данных работников и иных физических лиц, задействованных в их реализации. Трансграничная передача персональных данных в рамках отчетности по реализуемым программам или проектам осуществляется Центром РНО только при наличии письменного согласия субъекта персональных данных в том объеме, в котором этого требует обязанность предоставления отчетов. Формы отчетности и способ передачи отчетов, содержащих персональные данные субъектов, определяются организаторами программ или проектов и учитываются при получении Центра РНО письменного согласия субъекта персональных данных.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников и клиентов.
6.1. Руководитель, разрешающий доступ сотрудника к документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
6.2. Каждый сотрудник Центра РНО, получающий для работы конфиденциальный документ, указанный в п. 6.1. Положения, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.