АО «Мурманкнига»

г. Мурманск, ул. Капитана Буркова, дом 43

Телефон

8 (8152) 44 17 66

8 (8152) 44 17 75

Факс 8 (8152) 44 17 67

Эл. почта murmankniga@yandex.ru

Главная Нормативные документы

Политика обработки персональных данных

ОАО "Мурманкнига"

 

                                                                                                               Утверждено приказом №____ от "___"__________ 2015 г. 

Генеральный директор    _________________Н.И.Рябцев

 

Положение "О защите и обработке персональных данных"

 

СОДЕРЖАНИЕ:

 

  • Общие положения.
  • Понятие и состав персональных данных.
  • Права и обязанности работника в области защиты его персональных данных.
  • Требования к работодателю по обработке, получению, хранению и передаче персональных данных работников.
  • Доступ к персональным данным работников.
  • Порядок обеспечения защиты персональных данных.
  • Ответственность работодателя.

 

1. Общие положения.

 

1.1. Настоящее Положение разработано на основании ст. 24 Конституции РФ, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информатизации и защите информации» и Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Целью Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Положение определяет порядок работы (получение, обработка, использование, хранение и т.д.) с персональными данными работников и гарантии конфиденциальности сведений, предоставленных работником работодателю.

1.4. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством РФ.

1.6. Получение, обработка, хранение и любое другое использование персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении, продвижении по работе, обеспечения личной безопасности работника, контроля качества выполняемой работы, очередности предоставления ежегодного отпуска, установления размера заработной платы.

1.7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

1.8. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

1.9. Положение утверждается и вводится в действие приказом генерального директора ОАО "Мурманкнига" и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

1.10. Изменения в Положение могут быть внесены руководством в установленном действующим законодательством порядке.

 

2. Понятие  и состав персональных данных.

 

2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят:

- ФИО

- дата и место рождения
- паспортные данные

- СНИЛС

- ИНН

- свидетельства о рождении

- семейное, социальное, имущественное положение
- анкетные и биографические данные
- сведения об образовании и специальности
- сведения о трудовом и страховом стаже
- сведения о составе семьи
- сведения о воинском учете
- сведения о социальных льготах
- наличие судимостей
- адрес места жительства

- номер домашнего, мобильного телефона
- адрес личной электронной почты
- место работы или учебы членов семьи и родственников
- содержание трудового договора
- состав декларируемых сведений о наличии материальных ценностей

- сведения о предыдущем месте работы

- сведения о заработной плате сотрудника

- занимаемая должность.
2.3. К документам, содержащим персональные данные работника, создаваемым в процессе трудовых отношений, относятся:
- трудовой договор
- основания к приказам по личному составу и по основной деятельности
- подлинники и копии приказов по личному составу по основной деятельности
- личное дело, лицевые счета
- трудовая книжка
- дела, содержащие материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям
- копии отчетов, направляемые в органы статистики, и др.

- фотографии и иные сведения, относящиеся к персональным данным работника.

2.4. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.

 

3. Права и обязанности работника в области защиты его персональных данных.

 

3.1. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

  • получать полную информацию о своих персональных данных и обработке этих данных;
  • получать свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
  • дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
  • определять представителей для защиты своих персональных данных;
  • требовать исключения или исправления неверных или неполных персональных данных;
  • требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях и дополнениях;
  • обжаловать в суде любые неправомерные действия или бездействия работодателя при обработке и защите его персональных данных;
  • на сохранение и защиту своей личной и семейной тайны.

3.2. При отказе работодателя исключить или исправить персональные данные работника, тот имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

3.3. Работник для сохранения полной и точной информации о нем обязан:

  • передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;
  • своевременно сообщать работодателю об изменении своих персональных данных (Приложение № 3 "Памятка работнику на случай изменения персональных данных").

 

3.4. Работники или их представители должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

 

4. Требования  к работодателю по  обработке, получению, хранению и передаче персональных данных работников.

 

4.1. Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

4.2. Круг лиц, допущенных к работе с документами, содержащими персональные данные работников, определяется Приложением № 2 к Положению, утвержденным приказом генерального директора ОАО "Мурманкнига".

4.3. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

  • обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
  • все персональные данные работника следует получать у него самого.

4.4. Получение персональных данных работника возможно только с его личного согласия (Приложение № 1 )

4.5. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

4.6. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

4.7. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

4.8. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4.9. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет своих средств в порядке, установленном федеральным законом.

4.10. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить возможность ознакомления с документами и материалами, непосредственно затрагивающими права  и свободы данного работника, если иное не предусмотрено законом РФ.

4.11. Если Работодателю оказывают услуги юридические и/или физические лица на основании заключенных гражданско-правовых договоров и в силу этих договоров они должны иметь доступ к персональным данным сотрудников Работодателя, то соответствующие данные предоставляются только после подписания с ними соглашения об их неразглашении.

4.12. Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование.

4.13.  Личное дело, личная карточка, трудовые книжки  и лицевые счета работников хранятся в бумажном виде в папках в специальном несгораемом шкафу, обеспечивающем защиту от несанкционированного доступа, ключи от которых находятся у лиц ответственных за хранение персональных данных, а во время их отсутствия у лиц, из замещающих. Другие сотрудники могут использовать данные документы только с разрешения вышеназванных лиц.

4.14. Персональные данные работников могут также храниться в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается системой паролей.

4.15. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника о расторжении трудового договора, копия приказа об увольнении), дело передается на хранение.

4.16. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
  • разрешать доступ к персональным данным работника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • запрашивать информацию о состоянии здоровья работника только в объеме, необходимом для определения возможности выполнения работником трудовой функции;
  • передавать персональные данные работника его представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

4.17. Копирование и выписка персональных данных работника разрешаются исключительно в служебных целях по письменному запросу и с разрешения генерального директора организации.
4.18. Передача персональных данных от держателя или его представителей внешнему по­требителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

4.19. Работниками, ответственные за хранение персональных данных, а также с работники, владеющие персональными данными в силу своих должностных обязанностей, заключают с работодателем Обязательство о неразглашении персональных данных работников (Приложение № 4). Экземпляр Обязательства хранится в отделе кадров.

4.20. Автоматизированная обработка и хранение персональных данных работников допускаются только после выполнения всех основных мероприятий по защите информации.

4.21. Помещения, в которых хранятся персональные данные работников, должны быть оборудованы надежными замками.

4.22. Помещения в рабочее время при отсутствии в них работников ответственных за персональные данные должны быть закрыты.

4.23. Проведение уборки помещений должно производиться в присутствии работников ответственных за персональные данные.

 

5. Доступ к персональным данным работника.

 

Право доступа к персональным данным работника имеют:

5.1. Внутренний доступ.

  • генеральный директор;
  • заместитель генерального директора;
  • главный бухгалтер;
  • заместитель главного бухгалтера;
  • экономист;
  • бухгалтер;
  • директор книжно-канцелярской базы;
  • сам работник, носитель данных;

5.2. Внешний доступ.

5.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:

  • налоговые инспекции;
  • правоохранительные органы;
  • органы статистики;
  • страховые агентства;
  • военкоматы;
  • органы социального страхования;
  • пенсионные фонды;
  • подразделения муниципальных органов управления;
  • совет директоров общества.

5.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

5.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

5.2.4. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

5.2.5. Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

 

                         6. Порядок обеспечения защиты персональных данных.

 

6.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
6.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

6.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.

6.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств и в порядке, установленном федеральным законом.

6.5. Внутренняя защита.

6.5.1. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:

  • ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
  • строгое избирательное и обоснованное распределение документов и информации между работниками;
  • рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
  • знание работником требований нормативно-методических документов по защите информации и сохранению тайны;
  • наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
  • определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника с доступом к базам данных;
  • организация процесса уничтожения информации;
  • своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
  • воспитательная и разъяснительная работа с сотрудниками подразделения, цель которой – предупредить утрату ценных сведений при работе с конфиденциальными документами.

6.5.2. Все файлы, содержащие персональные данные работника в электронном виде, должны быть защищены паролем.

6.6. Внешняя защита.

6.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладеть персональными данными работника. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания документа и др.

6.6.2. Распределение функций, рабочие процессы, технология составления, оформления, ведения и хранения документов, содержащих персональные данные работника, является закрытой от посторонних лиц информацией.

6.6.3. Для обеспечения внешней защиты персональных данных работников необходимо пресечь доступ посторонних лиц к базам персональных данных и бумажным носителям персональных данных.

6.7. Все лица, в должностные обязанности которых входит получение, обработка и защита персональных данных работника, при приеме на работу обязаны подписать обязательство о неразглашении персональных данных работника.

6.8. По возможности персональные данные обезличиваются.

6.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

6.10. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

7. Ответственность работодателя

 

7.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

7.2. Лицо ответственное за персональные данные, разрешающее доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.3. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет личную ответственность за сохранность носителя и конфиденциальность информации.

7.4. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.5. Нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения, влечет привлечение виновного к ответственности в соответствии с Уголовным кодексом РФ.

7.6. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.

7.7. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса РФ.

7.8. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 Уголовного кодекса РФ.

7.9. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях РФ. 
7.10.  Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
7.11. Защита прав работника, установленных настоящим Положением и законодательством Российской Федерации, осуществляется судом в целях пресечения неправомерного использования персональных данных работника, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.

 

Согласовано:

Заместитель генерального директора                                          О.А.Кузьмина

 

Главный бухгалтер                                                                         Н.Б.Гаврилова

 

 

С Положением  и приложениями к нему ознакомлен(а):

 

____________                       ____________________                   ___________________

         дата                                                             подпись                                                                   расшифровка

Версия для печати

АО "МУРМАНКНИГА", 2019 г.

© Конструктор сайтов Nubex.ru