Правила обработки персональных данных работников: образец — 2017 года


    Продолжение нашей темы, касающейся Правил обработки персональных данных для работников компании: организации, учреждении или предприятии. Предлагаю Вам шаблон-образец 2017 года, доступный для свободного скачивания в конце страницы.

    Данный документ, Вам будет нужно внимательно изучить и подогнать под особенности деятельности Вашей компании и переименовать в соответствии с названием Вашей организации.

    Примерный образец Приказа на 2017 год «О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», в котором утверждается рассматриваемый документ, можно скачать тут: Приказ о мерах выполнения обязанностей Федерального закона 152-ФЗ О персональных данных.

    Полный пакет документов утверждаемых в вышеуказанном Приказе «О мерах выполнения обязанностей Федерального закона № 152-ФЗ», излагается на главной странице: Политика конфиденциальности для компании: образец-пример 2017 года.

    Приложение 2
    УТВЕРЖДЕНЫ
    приказом директора
    ГКУ СО «Наименование ЦСОН»
    от 30.06.2017 г. № 38

    Правила обработки персональных данных работников ГКУ СО «Наименование ЦСОН»

    1. Общие положения

    1.1. Правила обработки персональных данных работников (далее - Правила) ГКУ СО «Наименование ЦСОН» (далее - Учреждение) определяют порядок получения, хранения, передачи и любого другого использования персональных данных работников Учреждения (далее - субъекты персональных данных), а также формирования, ведения и хранения их личных дел и иных материалов, содержащих персональные данные.

    В соответствии с п. 2 статьи 1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» действие Правил не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.

    1.2. Настоящие Правила разработаны в соответствии с: Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» в целях обеспечения прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    1.3. Обработка персональных данных субъектов персональных данных в Учреждении осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия субъектам персональных данных в трудоустройстве, обучении, обеспечения контроля количества и качества выполняемой работы, личной безопасности, сохранности имущества, документирования служебных (трудовых) отношений работников Учреждения, в том числе повышения квалификации и профессиональной переподготовки и должностного роста, учете результатов исполнения работником должностных обязанностей, предоставления работнику установленных законодательством Российской Федерации и Волгоградской области условий труда, гарантий и компенсаций.

    1.4. В  соответствии со статьей  3  Федерального закона  от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

    • персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
    • обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

    1.5. Не допускается передача персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных Учреждения, за исключением случаев, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными федеральными законами, нормативными правовыми актами Российской Федерации, а также обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, частной жизни, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

    1.6. Персональные данные предоставляются субъектами персональных данных в структурное подразделение Учреждения «Комплектование и учет кадров». Если персональные данные возможно получить только у третьей стороны, то необходимо заранее уведомить об этом субъекта персональных данных и получить его письменное согласие.

    1.7. Директор Учреждения определяет перечень лиц, уполномоченных на обработку персональных данных в соответствие с настоящими Правилами, обеспечивающих обработку этих персональных данных и несущих ответственность за нарушение режима защиты этих персональных данных в соответствии с законодательством Российской Федерации (далее - лица, уполномоченные на обработку персональных данных).

    2. Согласие субъекта персональных данных на обработку своих персональных данных

    2.1. При приеме на работу работников, в соответствии со статьей 9 Федерального закона «О персональных данных», структурное подразделение Учреждения «Комплектование и учет кадров» оформляет письменное согласие субъекта персональных данных на обработку своих персональных данных.

    Письменное согласие на обработку персональных данных помещается в личное дело работника Учреждения, приобщается к его трудовому договору.

    2.2. Согласие работника на обработку и передачу персональных данных не требуется, если обработка данных:

    • осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (например, передача персональных данных работника о полученном доходе и удержанных налогах в налоговые органы, о начисленных страховых взносах на обязательное пенсионное страхование и трудовом стаже в органы ПФР, о воинском учете - в военные комиссариаты);
    • проводится в целях исполнения договора, одной из сторон которого является такой работник (например, не требуется дополнительного разрешения на оформление доверенностей, если это связано с исполнением его трудовых обязанностей, указания данных в приказах, расчетно-платежных, инвентаризационных ведомостях, товарных накладных и т. д.);
    • ведется в статистических или иных научных целях при условии обязательного обезличивания персональных данных;
    • необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если невозможно получить его согласие;
    • нужна для доставки почтовых отправлений организациями почтовой связи.

    2.3. В иных случаях получение согласия субъекта персональных данных Учреждения на обработку своих персональных данных осуществляется в соответствии со статьей 9 Федерального закона «О персональных данных».

    3. Хранение, обработка и использование персональных данных

    3.1. Использование персональных данных в Учреждении осуществляется в соответствии с требованиями, установленными законодательством Российской Федерации.

    3.2. Сведения о субъектах персональных данных Учреждения хранятся на бумажных носителях в помещении структурного подразделения Учреждения «Комплектование и учет кадров» в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. При обработке персональных данных и хранении их в информационных системах в электронном виде использование паролей является обязательным.

    4. Передача персональных данных

    4.1. При передаче персональных данных должностные лица Учреждения, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных обязаны соблюдать следующие требования:

    • не сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
    • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
    • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
    • осуществлять передачу персональных данных работника в пределах Учреждения в соответствии с настоящими Правилами;
    • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций;
    • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения конкретной трудовой функции;
    • передавать персональные данные работника его представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

    5. Общедоступные источники персональных данных субъектов персональных данных Учреждения

    5.1. В целях информационного обеспечения деятельности Учреждения создаются общедоступные источники персональных данных субъектов персональных данных Учреждения (далее - Справочники), в которые с письменного согласия субъекта персональных данных включаются его фамилия, имя, отчество, сведения о занимаемой им должности, иные персональные данные, предоставленные субъектом персональных данных.

    5.2. Формирование, ведение и иные действия (операции) с персональными данными, содержащимися в Справочниках, а также получение письменного согласия субъекта персональных данных на их обработку осуществляются структурными подразделениями, уполномоченным на формирование, ведение и иные действия со Справочниками.

    6. Права субъекта персональных данных Учреждения по обеспечению защиты своих персональных данных

    6.1. В целях обеспечения защиты персональных данных субъект персональных данных Учреждения имеет право:

    6.1.1. Получать сведения об Учреждении, о месте его нахождения, о наличии в Учреждении персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Сведения о наличии персональных данных должны быть представлены субъекту персональных данных в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

    6.1.2. Получать полную информацию о своих персональных данных и обработке этих данных.


    6.1.3. На свободный бесплатный доступ лично или через законного представителя к своим персональным данным, который обязано обеспечить Учреждение при обращении либо при получении запроса субъекта персональных данных или его законного представителя. При этом запрос должен содержать номер документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.

    6.1.4. Требовать уточнения своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.

    6.1.5. Требовать от Учреждения уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них.

    6.1.6. На получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

    • подтверждение факта обработки персональных данных Учреждением, а также цель такой обработки;
    • способы обработки персональных данных, применяемые Учреждением;
    • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
    • перечень обрабатываемых персональных данных и источник их получения;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

    Запрашиваемая субъектом персональных данных информация должна быть представлена Учреждением в течение десяти рабочих дней с даты получения запроса.

    6.1.7. Обжаловать действия или бездействие лица, уполномоченного на обработку персональных данных, руководству Учреждения, в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что лицо, уполномоченное на обработку персональных данных, осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.

    6.1.8. В соответствии с законодательством Российской Федерации пользоваться иными правами по обеспечению защиты своих персональных данных.

    6.2. Субъекты персональных данных Учреждения должны быть ознакомлены под роспись с настоящими Правилами, а также об их правах и обязанностях при обработке их персональных данных.

    7. Обязанности субъекта персональных данных Учреждения по обеспечению достоверности его персональных данных

    7.1. В случае изменения сведений, содержащих персональные данные субъекта персональных данных (фамилия, имя, отчество, адрес, абонентский номер, паспортные данные, сведения об образовании, семейном положении, состоянии здоровья (при выявлении противопоказаний для выполнения служебных обязанностей (работы), обусловленных служебным контрактом (трудовым договором), или иных сведений), субъект персональных данных  обязан в трехдневный срок сообщать о таких изменениях в подразделение «Комплектование и учет кадров» Учреждения.

    8. Обязанности Учреждения при обработке и использовании персональных данных

    8.1. При обработке и использовании персональных данных Учреждение обязано:

    8.1.1. При определении объема и содержания обрабатываемых персональных данных субъектов персональных данных руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», иными федеральными законами и нормативными правовыми актами.

    8.1.2. Представить субъекту персональных данных или его законному представителю информацию, предусмотренную пунктами 6.1.1 и 6.1.6 Правил, а также предоставить возможность ознакомления с этой информацией при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

    8.1.3. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных, дать в письменной форме мотивированный ответ, содержащий ссылку на положения части 5 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

    8.1.4. Безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными  данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлению субъектом  персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Учреждение обязано уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

    8.1.5. В случае выявления недостоверных персональных данных или неправомерных действий с ними при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

    8.1.6. В случае подтверждения факта недостоверности персональных данных на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, уточнить персональные данные и снять их блокирование.

    8.1.7. В случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

    8.1.8. В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

    8.1.9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Учреждением и субъектом персональных данных. Об уничтожении персональных данных уведомить субъекта персональных данных.

    9. Доступ к персональным данным и их защита

    9.1. Учреждение при обработке персональных данных обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

    9.2. Перечень должностных лиц Учреждения, уполномоченных на обработку, хранение, передачу и любое другое использование персональных данных, утверждается приказом директора.

    9.3. Доступ к персональным данным без специального разрешения имеют:

    • директор и его заместитель;
    • заведующие структурными подразделениями – к персональным данным работников соответствующего структурного подразделения;
    • работники структурного подразделения «Бухгалтерского учета и финансово-экономической деятельности» – к персональным данным, которые необходимы для начисления заработной платы, оплаты временной нетрудоспособности, удержания налогов, представления сведений о доходах и удержанных налогах и страховых взносов в налоговые органы и органы Пенсионного фонда Российской Федерации;
    • сам субъект персональных данных.

    9.4. Персональные данные могут представляться в налоговые органы, органы ПФР, социального страхования, статистики, правоохранительные органы, военные комиссариаты, комитет социальной защиты населения Волгоградской области, другие органы и организации в объеме и сроки, определяемые соответствующими законами и иными правовыми нормативными актами.

    9.5. Персональные данные о работнике Учреждения, в том числе уволенном, могут быть предоставлены другой организации только по письменному запросу на бланке организации с приложением заявления работника о его согласии на представление этих данных.

    9.6. Персональные данные работника Учреждения могут быть предоставлены родственникам или членам семьи работника только с письменного разрешения самого работника.

    9.7. Исключение возможности несанкционированного доступа к персональным данным при хранении материальных носителей обеспечивается:

    • раздельным хранением персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
    • запретом доступа к персональным данным (материальным носителям) без специального разрешения директора Учреждения иным лицам, кроме указанных в пункте 9.3. Правил;
    • хранением материальных носителей в специальных запираемых и опечатываемых шкафах, сейфах, использованием паролей при обработке персональных данных и хранением их в информационных системах в электронной форме;
    • запретом нахождения посторонних лиц в служебных помещениях Учреждения, в которых располагаются соответствующие шкафы, сейфы, персональные компьютеры.

    Реализация указанных мер осуществляется должностными лицами Учреждения, уполномоченными на обработку персональных данных.

    10. Ответственность за разглашение информации, содержащей персональные данные

    10.1. Лица, виновные в нарушение норм, регулирующих получение, обработку, хранение и защиту персональных данных субъектов персональных данных Учреждения, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

    Готовый документ-шаблон - данное приложение в формате docx можно бесплатно скачать здесь: Приложение 2. Правила обработки персональных данных работников.