Положение о хранении и использовании персональных данных работников

Общиие положения

1. Настоящим Положением определяется порядок обращения с персональными данными сотрудников Индивидуальный предприниматель Алексеев Михаил Вячеславович (далее — Компании).Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Компании и ее сотрудников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих (см. далее) персональные данные.

1. Персональные данные сотрудника — любая информация, относящаяся к данному сотруднику (субъекту персональных данных) и необходимая Компании в связи с трудовыми отношениями, в том числе:

фамилия, имя, отчество сотрудника; дата и место рождения сотрудника; адрес сотрудника;

семейное, социальное, имущественное положение сотрудника; образование, профессия сотрудника;

доходы, имущество и имущественные обязательства сотрудника;

другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.

1. Сведения о персональных данных сотрудников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается:

в случае их обезличивания (см. далее); по истечении 75 лет срока их хранения;

в других случаях, предусмотренных федеральными законами.

1. Основные понятия. Состав персональных данных сотрудников
   1. Для целей настоящего Положения используются следующие основные понятия: персональные данные сотрудника — в соответствии с определением п. 1.3 настоящего

Положения;

обработка персональных данных сотрудника — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным сотрудников, требование не допускать их распространения без согласия работника или иного законного основания;

распространение персональных данных — действия, направленные на передачу персональных данных сотрудников определенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных  сотрудников  в  средствах  массовой  информации,  размещение  в  информационно-

телекоммуникационных сетях или представление доступа к персональным данным сотрудников каким-либо иным способом;

использование персональных данных — действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Компании в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных сотрудников, в том числе их передачи;

уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных сотрудников или в результате которых уничтожаются материальные носители персональных данных сотрудников;

обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному сотруднику;

общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия сотрудника, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

информация — сведения (сообщения, данные) независимо от формы их представления;

документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

• Информация, представляемая сотрудником при поступлении на работу в Компанию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса РФ лицо, поступающее на работу, предъявляет:

паспорт или иной документ, удостоверяющий личность;

трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

страховое свидетельство государственного пенсионного страхования; документы воинского учета — для лиц, подлежащих воинскому учету;

документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;

свидетельство о присвоении ИНН (при его наличии у работника).

• При оформлении сотрудника отделом кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
• общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
• сведения о воинском учете;
• данные о приеме на работу;
• сведения об аттестации;
• сведения о повышенной квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях;
• сведения о месте жительства и о контактных телефонах.
  • В отделе кадров Компании создаются и хранятся следующие группы документов, содержащие данные о сотрудниках в единичном или сводном виде:
    • Документы, содержащие персональные данные сотрудников:

комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

комплекс   материалов   по   анкетированию,   тестированию;   проведению   собеседований   с кандидатом на должность;

подлинники и копии приказов (распоряжений) по кадрам; личные дела и трудовые книжки;

дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестаций сотрудников;

дела, содержащие материалы внутренних расследований;

справочно-информационный банк данных по персоналу (картотеки, журналы);

подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Компании, руководителям структурных подразделений;

копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

• Документация по организации работы структурных подразделений: положения о структурных подразделениях;

должностные инструкции работников;

приказы, распоряжения, указания руководства Компании;

документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

1. Организация обработки персональных данных сотрудников
   1. Обработка персональных данных сотрудников организуется в соответствии со схемой 1.

┌─────────────────────────┐

│        Получение                                       │

│персональных данных                             │

└────────────┬────────────┘

│                             ┌───────────────────┐

│                             │      Проверка                            │

└───────────┤ достоверности                       │

│персональных данных             │

└─────────┬─────────┘

┌───────────────────┐

└────────┤    Накопление                         │

│персональных данных             │

└─────────┬────────┬┘

┌────────────────────────┬─────────────────────┬─┘

┌──────┴──────┐          ┌─────┴─────┐      ┌───────┴──────┐

└─────────────┘          └───────────┘      └──────────────┘

│

┌──────────────────┐

│      Контроль                        │

│    обеспечения                      │

│    сохранности                      │

└─────────┬────────┘

────────────────────────┬─────────────────────

┌──────┴──────┐          ┌─────┴─────┐      ┌───────┴────┐

│Разграничение                      │ Резервное           │       │  Ревизия               │

│  доступа                  │          │копирование         │       │                               │

└─────────────┘          └───────────┘      └────────────┘

┌───────┴──────┐

│Восстановление          │

│                                    │

└──────────────┘

│

┌──────────────────┐

│  Комбинирование                │

└─────────┬────────┘

────────────────────────┬────────────────────

┌──────┴──────┐          ┌─────┴─────┐      ┌───────┴─────┐

│    Анализ                  │         │  Выдача             │        │ Обновление            │

│                                 │          │ по запросу           │       │                                 │

└─────────────┘          └───────────┘      └─────────────┘

│

┌──────────────────┐

│ Архивное хранение             │

└─────────┬────────┘

┌────────────────────────┬─────────────────────┬─┘

┌──────┴──────┐          ┌─────┴─────┐      ┌───────┴─────┐

│  Описание              │          │ Экспертиза         │      │  Передача                │

│                                 │          │ ценности            │      │  на пост.                  │

│                                 │          │                             │       │  хранение               │

└─────────────┘          └───────────┘      └───────┬─────┘

┌───────┴─────┐

│ Уничтожение          │

Схема 1                                            │

└─────────────┘

• Все персональные данные сотрудника следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее (в письменной форме) и от него должно быть получено письменное согласие. Должностное лицо работодателя обязано сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа сотрудника дать письменное согласие на их получение.
  • Работодатель не имеет права получать и обрабатывать персональные данные сотрудника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия.
  • Обработка указанных персональных данных сотрудников работодателем возможна только с их согласия либо без их согласия в следующих случаях:
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья сотрудника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия сотрудника невозможно;
• по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом.
  • Работодатель вправе обрабатывать персональные данные сотрудников только с их письменного согласия.
  • Письменное согласие сотрудника на обработку своих персональных данных должно включать в себя:
• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

• Согласие сотрудника не требуется в следующих случаях:
• обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
• обработка персональных данных в целях исполнения трудового договора;
• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов сотрудника, если получение его согласия невозможно.
  • Сотрудник Компании представляет в отдел кадров достоверные сведения о себе. Отдел кадров проверяет достоверность сведений.
  • В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Компании и его законные, полномочные представители при обработке персональных данных сотрудника должны выполнять следующие общие требования:
    • Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечение личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
    • При определении объема и содержания, обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
    • При принятии решений, затрагивающих интересы сотрудника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
    • Защита персональных данных сотрудника от неправомерного их использования утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
    • Сотрудники и их представители должны быть ознакомлены под расписку с документами Компании, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
    • Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
• Передача персональных данных
  • При передаче персональных данных сотрудника работодатель должен соблюдать следующие требования:
    • Не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральным законом.
    • Не сообщать персональные данные сотрудника в коммерческих целях без его письменного согласия. Обработка персональных данных сотрудников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
    • Предупредить лиц, получивших персональные данные сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные сотрудника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными сотрудников в порядке, установленном федеральными законами.
    • Осуществлять передачу персональных данных сотрудников в пределах Компании в соответствии с настоящим Положением.
    • Разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

• Не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции.
  • Передавать персональные данные сотрудника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
  • Персональные данные сотрудников обрабатываются и хранятся в отделе кадров.
  • Персональные данные сотрудников могут быть получены, проходить дальнейшую обработку и передаваться на хранения как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
  • При получении персональных данных не от сотрудника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить сотруднику следующую информацию:
• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные федеральными законами права субъекта персональных данных.
• Доступ к персональным данным сотрудников
  • Право доступа к персональным данным сотрудников имеют:
• руководитель Компании;
• сотрудники отдела кадров;
• сотрудники бухгалтерии;
• начальник отдела экономической безопасности (информация о фактическом месте проживания и контактные телефоны сотрудников);
• сотрудники секретариата (информация о фактическом месте проживания и контактные телефоны сотрудников);
• начальник отдела внутреннего контроля (доступ к персональным данным сотрудников в ходе плановых проверок);
• руководители структурных подразделений по направлению деятельности (доступ к персональным данным только сотрудников своего подразделения).
  • Сотрудник Компании имеет право:
    • Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
    • Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
    • Получать от работодателя:
      • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
      • перечень обрабатываемых персональных данных и источник их получения;
      • сроки обработки персональных данных, в том числе сроки их хранения;
      • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
    • Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
    • Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
  • Копировать и делать выписки персональных данных сотрудника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.
  • Передача информации третьей стороне возможна только при письменном согласии работников.

• Ответственность за нарушение норм, регулирующих обработку персональных данных
  • Сотрудники Компании, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
  • Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 Кодекса об административных правонарушениях РФ, а также возмещает сотруднику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом сотруднике.