Положение о защите ПД

Утверждено
Приказом директора МАУС «КСК «Нара» от 26.10.2018 г. № 52/01-04

 

ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ МУНИЦИПАЛЬНОГО АВТОНОМНОГО УЧРЕЖДЕНИЯ СПОРТА «КУЛЬТУРНО-СПОРТИВНЫЙ КОМПЛЕКС «НАРА»

  • 1. ОБЩИЕ ПОЛОЖЕНИЯ

    • 1.1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работники, а также ведения его личного дела в соответствии с трудовым законодательством Российской Федерации.

    • 1.2. Цель данного Положения – защита персональных данных от несанкционированного доступа.

    • 1.3. Сбор, хранение, использование и распространение информации о частной жизни лица без письменного его согласия не допускается. Персональные данные относятся к категории конфиденциальной информации.

    • 1.4. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, в соответствии с законодательством Российской Федерации.

    • 1.5. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

    • 1.6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации их прав и свобод. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

    • 1.7. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

    • 1.8. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 Федерального закона и законодательства о персональных данных

    • 1.9. Настоящее положение является обязательным для исполнения всеми сотрудниками МАУС «КСК» «Нара», имеющими доступ к персональным данным работника.

  • 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

    • 2.1. Под персональными данными работника понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность и содержащиеся в личном деле работника либо подлежащие включению в его личное дело в соответствии с настоящим Положением.

    • 2.2. Состав Персональных данных работника:

– анкетные и биографические данные;

-образование;

– сведения о трудовом и общем стаже;

– сведения о составе семьи;

– паспортные данные;

– сведения о воинском учете;

– сведения о заработной плате сотрудника;

– сведения о социальных льготах;

– специальность;

– занимаемая должность;

– наличие судимостей;

– адрес места жительства;

– домашний телефон;

– место работы или учебы членов семьи и родственников;

– характер взаимоотношений в семье;

– содержание трудового договора;

– состав декларируемых сведений о наличии материальных ценностей;

– содержание декларации, подаваемой в налоговую инспекцию;

– подлинники и копии приказов по личному составу;

– личные дела и трудовые книжки сотрудников;

– основания к приказам по личному составу;

– дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

– копии отчетов, направляемые в органы статистики.

Данные документы являются конфиденциальными, хотя учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.

  • 3. ОБЯЗАННОСТИ И ПРАВА РАБОТОДАТЕЛЯ

    • 3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования;

      • 3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; содействия работникам в трудоустройстве; обучения и продвижения по службе; обеспечения личной безопасности работников; контроля и качества выполняемой работы и обеспечения сохранности имущества;

      • 3.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;

      • 3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;

      • 3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни;

      • 3.1.5. Работодатель не имеет права и обрабатывать персональные данные работника и его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;

      • 3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

      • 3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

    • 3.2. Работодатель обязан обеспечивать защиту персональных данных работника от неправомерного их использования или утраты.

    • 3.3. Работодатель или уполномоченное им лицо вправе подвергать обработке, в том числе автоматизированной, персональные данные работников при формировании кадрового резерва.

  • 4. ОБЯЗАННОСТИ И ПРАВА РАБОТНИКА

    • 4.1. Работник обязан:

      • 4.1.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, состав которых установлен Трудовым кодексом РФ;

      • 4.1.2. Своевременно сообщать работодателю об изменении своих персональных данных.

    • 4.2. В целях обеспечения защиты своих персональных данных, представленных работодателю, работник вправе:

      • 4.2.1. Получать полную информацию о своих персональных данных и обработке этих данных ( в том числе автоматизированной);

      • 4.2.2. Осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

      • 4.2.3. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона.

При отказе работодателя или уполномоченного им лица исключить или исправить персональные данные работника, последний иметь право заявить в письменной форме работодателю или уполномоченному им лицу о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

  • 4.2.4. Требовать от работодателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них изменениях или исключениях из них;

  • 4.2.5. Обжаловать в суд любые неправомерные действия или бездействие работодателя или уполномоченного им лица при обработке и защите персональных данных работника.

  • 4.2.6. Работник имеет право на сохранение и защиту своей личной и семейной тайны.

  • 5. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    • 5.1. Обработка персональных данных работника представляет собой получение, хранение, комбинирование, передачу или любое другое использование персональных данных работника.

    • 5.2. При получении персональных данных должны соблюдаться следующие требования:

      • 5.2.1. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

      • 5.2.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

      • 5.2.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественные объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

    • 5.3. Лицами, уполномоченными на получение, обработку, хранение, передачу и любое другое использование персональных данных работника и несущими ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных, являются:

      • 5.3.1. директор;

      • 5.3.2. главный бухгалтер;

      • 5.3.3. начальник отдела кадров;

      • 5.3.4. сотрудники бухгалтерии;

      • 5.3.5. иные должностные лица, специально уполномоченные приказом (распоряжением) директора МАУС «КСК» «Нара».

5.4. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • 5.4.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

  • 5.4.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

  • 5.4.3. Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работника в порядке, установленном федеральным законом.;

  • 5.4.4. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

  • 5.4.5. Не запрашивать информацию о состоянии здоровья работника. За исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

  • 5.4.6. Передать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

  • 5.5. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

  • 5.6. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы МАУС «КСК» «Нара» работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

  • 5.7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

  • 5.8. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

  • 5.9. По возможности персональные данные обезличиваются.

  • 6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СОТРУДНИКА

6.1 Право внутреннего доступа (внутри МАУС «КСК» «Нара») к персональным данным сотрудника имеет:

– директор;

– руководители структурных подразделений;

– сам работник, носитель данных.

Другие сотрудники МАУС «КСК» «Нара» имеют доступ к персональным данным работника только с письменного согласия самого работника, носителя данных.

6.2. К числу массовых потребителей персональных данных вне учреждения, т.е. имеющим право внешнего доступа к персональным данным работника, можно отнести государственные и негосударственные функциональные структуры:

– налоговые инспекции;

– правоохранительные органы;

– органы статистики;

– страховые агентства;

– военкоматы;

– органы социального страхования;

– пенсионные фонды;

– подразделения муниципальных органов управления.

6.3. Контрольно-надзорные органы имеют доступ к информации только в сфере своей компетенции.

  • 6.4. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

  • 6.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

  • 6.6. Персональные данные сотрудника могут быть представлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия.

  • 7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

    • 7.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации. Террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства0 а также заинтересованные и незаинтересованные в возникновении угрозы лица.

  • 7.2. Защита персональных данных представляет собой жестко регламентированный процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности МАУС «КСК» «Нара».

  • 7.3. «Внутренняя защита»

    • 7.3.1. Основным виновником несанкционированного доступа к персональным данным являются, как правило, сотрудники, работающие с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами учреждения.

    • 7.3.2. Для защиты персональных данных работника необходимо соблюдать ряд мер:

  • – ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

-строгое избирательное и обоснованное распределение документов и информации между работниками;

  • – рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

  • – знание работником требований нормативно-методических документов по защите информации и сохранении тайны;

  • –  наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

  • – определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится документация и вычислительная техника;

– организация порядка уничтожения информации;

  • – своевременное выявление нарушения требований разрешительной системы доступа;

  • –  воспитательная и разъяснительная работы с сотрудниками бухгалтерии по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

Личные дела могут выдаваться на рабочие места только директору, и в исключительных случаях, с письменного разрешения директора, руководителю структурного подразделения.

  • 7.4. «Внешняя защита»

    • 7.4.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование но, и их видоизменение, уничтожение, внесение «вируса», подмена, фальсификация содержания реквизитов документа и др.

    • 7.4.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственное отношение к деятельности МАУС «КСК» «Нара».

Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров.

  • 7.4.3. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

– порядок приема, учета и контроля деятельности посетителей;

– технические средства охраны, сигнализации;

– требования к защите информации при интервьюировании и собеседованиях.

  • 7.5. Лица, виновные в нарушении норм. Регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

  • 7.6. Все лица, связанные с получением, обработкой и защитой персональных данных сотрудника, обязаны заключить «Соглашение о неразглашении персональных данных сотрудников учреждения.

  • 8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ.

    • 8.1. Персональная ответственность – одно из главных требований в организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

    • 8.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

    • 8.3. Каждый сотрудник МАУС «КСК» «Нара» получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

    • 8.4. Лица, виновные в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), несут дисциплинарную, гражданско-правовую или уголовную ответственность, в соответствии с федеральным законодательством.

Начальник отдела кадров
Н.Б.Кузнецова

 

ФОРМА
Приложение №1

 

Обязательство о неразглашении персональных данных

Я, —————————– паспорт серии ——-, номер ——–

выдан ——————————————————————–,

понимаю, что получаю доступ к персональным данным работников Муниципального автономного учреждения спорта «Культурно-спортивный комплекс «Нара». Я также понимаю, что во время исполнения своих обязанностей я занимаюсь сбором, обработкой и хранением персональных данных работников.

Я понимаю, что разглашение такого рода информации может нанести ущерб работникам организации, как прямой, так и косвенный.

В связи с этим даю обязательство при работе (сборе, обработке и хранении) с персональными данными сотрудника соблюдать все описанные в Положении о персональных данных требования.

Я подтверждаю, что не имею права разглашать сведения о (об):

– анкетных и биографических данных;

– образовании;

– трудовом и общем стаже;

– составе семьи;

– паспортных данных;

– воинском учете;

– заработной плате работника;

– социальных льготах;

– специальности;

– занимаемой должности;

– наличии судимостей;

– адресе места жительства, домашнем телефоне;

– месте работы или учебы членов семьи и родственников;

– содержании трудового договора;

– составе декларируемых сведений о наличии материальных ценностей;

– содержании декларации, подаваемой в налоговую инспекцию;

– подлинниках и копиях приказов по личному составу;

– личных делах и трудовых книжках сотрудников;

– делах, содержащих материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

– копиях отчетов, направляемых в органы статистики.

Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных работника, или их утраты я несу ответственность в соответствии с ст. 90 ТК РФ.

С Положением о порядке обработки персональных данных работников Муниципального автономного учреждения спорта «Культурно-спортивный комплекс «Нара» и гарантиях их защиты ознакомлен(а).

(должность) (Ф.И.О.)     20  г.    подпись)

 

Post Views: 580