Правила обращения с персональными данными работников предприятия (образец заполнения)

ПРАВИЛА  3                                                УТВЕРЖДАЮ
30 ноября 2011 г.                                         Директор
N 11
г. Сланцы
Ленинградской обл.                                        подпись
(наименование места
издания (утверждения))
обращения с персональными                                 А.Я. Петров
данными                                                   29 ноября 2011 г.

1. Общие положения

1.1. Правила обращения с персональными данными (далее - Правила) разработаны в соответствии с приказом директора от 20.09.2011 N 290 во исполнение Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (иное - указать конкретно).

1.2. Правила предназначены для установления единообразной организации обращения с персональными данными в ОАО "Фасет" (далее, за исключением случаев, оговоренных особо, - Оператор):

1.2.1. Работников ОАО "Фасет".

1.2.2. Граждан из числа соискателей вакантных должностей (профессий, специальностей) в ОАО "Фасет".

1.2.3. Граждан, направивших обращения в адрес ОАО "Фасет".

1.3. Персональные данные - любая информация, в т.ч. документированная, в традиционной (бумажной) или электронной форме, прямо или косвенно относящаяся к работнику (гражданину) (субъекту персональных данных) и необходимая ОАО "Фасет" в связи с трудовыми отношениями, их предполагаемым возникновением либо рассмотрением обращения. Персональные данные включают:

1.3.1. Фамилию, имя, отчество.

1.3.2. Дату и место рождения.

1.3.3. Адрес регистрации (юридический адрес) и места жительства (пребывания) (фактический адрес).

1.3.4. Сведения, характеризующие семейное, социальное, имущественное положение.

1.3.5. Сведения об образовании, профессии (специальности), квалификации.

1.3.6. Сведения о доходах, имуществе и имущественных обязательствах.

1.3.7. Сведения о документе, удостоверяющем личность.

1.3.8. Сведения об ИНН.

1.3.9. Сведения о номере СНИЛС.

1.3.10. Сведения о платежных (банковских) реквизитах.

1.3.11. Номер телефона, адрес электронной почты, персональной интернет-страницы.

1.3.12. Иные сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных.

1.4. Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну предприятия). Режим конфиденциальности в отношении персональных данных снимается:

1.4.1. В случае их обезличивания (см. далее).

1.4.2. По истечении 75 лет срока их хранения.

1.4.3. В других случаях, предусмотренных федеральными законами.

1.5. Организация обращения с персональными данными включает выполнение следующих действий со сведениями, перечисленными в п. 1.3:

1.5.1. Сбор сведений.

1.5.2. Запись сведений на материальный носитель.

1.5.3. Систематизацию сведений.

1.5.4. Накопление сведений.

1.5.5. Хранение сведений.

1.5.6. Обновление ранее полученных сведений.

1.5.7. Извлечение сведений из состава других сведений;

1.5.8. Передачу сведений, в т.ч. посредством:

- распространения по коммуникационным каналам;

- предоставления на материальных носителях;

- предоставления к ним доступа.

1.5.9. Обезличивание сведений.

1.5.10. Блокирование сведений.

1.5.11. Удаление и уничтожение (удаление, исключающее возможность восстановления в первоначальном виде) сведений.

1.5.12. Выполнение иных действий (их совокупности).

1.6. Выполнение действий, перечисленных в п. 1.5, допускается с использованием средств автоматизации (средств вычислительной техники) или без использования таких средств.

1.7. Обработка персональных данных должна производиться с соблюдением следующих основных требований:

1.7.1. Наличия законных оснований для обработки.

1.7.2. Ограничения (конкретизации) цели обработки.

1.7.3. Соответствия содержания, объема, иных характеристик персональных данных цели обработки.

1.7.4. Раздельной обработки несовместимых персональных данных, в т.ч. в связи с различным целевым назначением соответствующих групп (массивов) персональных данных.

1.7.5. В процессе обработки должны быть обеспечены точность, полнота (достаточность) и актуальность персональных данных.

1.7.6. Срок хранения персональных данных устанавливается в соответствии с целью их обработки.

1.8. Обработка персональных данных допускается при наличии у Оператора полученного в установленном порядке согласия субъекта персональных данных на их обработку (за исключением случаев, когда получение такого согласия не требуется, см. ниже), а также если:

1.8.1. Обработка персональных данных производится во исполнение международного договора или закона Российской Федерации для осуществления и выполнения возложенных законодательством на Оператора функций, полномочий и обязанностей.

1.8.2. Обработка персональных данных необходима:

1.8.2.1. Для осуществления правосудия, исполнения судебного акта, акта другого органа (должностного лица), подлежащих исполнению в соответствии с законодательством об исполнительном производстве.

1.8.2.2. Для предоставления государственной (муниципальной) услуги.

1.8.2.3. Для обеспечения предоставления государственной (муниципальной) услуги.

1.8.2.4. Для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг.

1.8.2.5. Для исполнения договора, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

1.8.2.6. Для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

1.8.2.7. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

1.8.2.8. Для осуществления прав и законных интересов Оператора или третьих лиц.

1.8.2.9. Для достижения общественно значимых целей - при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

1.8.2.10. Для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации.

1.8.2.11. Для научной, литературной или иной творческой деятельности - при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

1.8.3. Обработка персональных данных осуществляется в статистических или иных исследовательских целях - при условии обязательного обезличивания персональных данных.

1.8.4. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

1.8.5. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.9. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом гражданско-правового договора. В соответствии с договором устанавливаются:

1.9.1. Перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим их обработку.

1.9.2. Цели обработки.

1.9.3. Обязанность лица, осуществляющего обработку персональных данных, соблюдать их конфиденциальность и безопасность.

1.9.4. Требования к защите обрабатываемых персональных данных.

1.10. Иное (указать конкретно).

2. Получение и отзыв согласия на обработку персональных данных. Документы, содержащие персональные данные

2.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своих интересах. Такое согласие должно быть конкретным, информированным и сознательным.

2.2. Согласие на обработку персональных данных дается субъектом персональных данных (его представителем) в письменной форме (далее - письменное согласие).

2.3. Письменное согласие должно включать:

2.3.1. Фамилию, имя, отчество, адрес субъекта персональных данных, серию и номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

2.3.2. Фамилию, имя, отчество, адрес представителя субъекта персональных данных, серию и номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя, если Оператор получает такое письменное согласие от представителя субъекта персональных данных, при этом:

- в случае недееспособности субъекта персональных данных письменное согласие дает законный представитель субъекта персональных данных;

- в случае смерти субъекта персональных данных письменное согласие дают наследники субъекта персональных данных, если такое согласие не было дано им при жизни.

2.3.3. Наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта персональных данных.

2.3.4. Цель обработки и перечень персональных данных, на обработку которых дается письменное согласие.

2.3.5. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена такому лицу.

2.3.6. Перечень действий с персональными данными, на совершение которых дается письменное согласие.

2.3.7. Общее описание используемых Оператором способов обработки персональных данных.

2.3.8. Срок, в течение которого действует согласие субъекта персональных данных.

2.3.9. Способ отзыва согласия.

2.3.10. Подпись субъекта персональных данных либо его представителя.

2.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в письменной форме.

2.5. В связи с трудовыми отношениями граждане предоставляют в распоряжение Оператора следующие документы, содержащие персональные данные:

2.5.1. Паспорт или иной документ, удостоверяющий личность.

2.5.2. Трудовую книжку, за исключением случаев, когда договор заключается впервые, или гражданин поступает на работу на условиях совместительства, или трудовая книжка отсутствует в связи с ее утратой или по другим причинам.

2.5.3. Страховое свидетельство государственного пенсионного страхования.

2.5.4. Документы воинского учета (представляются гражданами, подлежащими воинскому учету).

2.5.5. Документ об образовании, квалификации или наличии специальных знаний (представляется гражданами, поступающими на работу, требующую специальных знаний или специальной подготовки).

2.5.6. Свидетельство о присвоении ИНН.

2.6. Содержащиеся в перечисленных в п. 2.5 документах персональные данные вносятся в личную карточку работника для фиксации следующих сведений:

2.6.1. Общих сведений (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, семейное положение, паспортные данные).

2.6.2. Сведений о воинском учете.

2.6.3. Сведений о приеме на работу.

2.6.4. Сведений о квалификации.

2.6.5. Сведений о наградах (поощрениях), почетных званиях.

2.6.6. Сведений о месте жительства, номере телефона, адресе электронной почты или персональной интернет-страницы.

2.7. В связи с рассмотрением обращения в порядке личного приема граждане предоставляют в распоряжение Оператора следующие документы, содержащие персональные данные:

2.7.1. Паспорт или иной документ, удостоверяющий личность.

2.7.2. Документы - подлинники или надлежаще заверенные копии, содержащие персональные данные, непосредственно относящиеся к предмету обращения, в т.ч.:

- документы об образовании;

- документы специального учета (воинского, страхового и т.п.);

- документы о праве на льготы.

2.8. Содержащиеся в перечисленных в п. 2.7 документах персональные данные вносятся в лист учета личного приема для фиксации следующих сведений:

2.8.1. Общих сведений (Ф.И.О., дата рождения, место рождения, гражданство, паспортные данные).

2.8.2. Сведений, непосредственно относящихся к предмету обращения, - в зависимости от предмета обращения, в т.ч.:

- сведений об образовании;

- учетных сведений;

- сведений о льготах.

2.9. Иное (указать конкретно).

3. Обязанности Оператора по соблюдению требований к обработке персональных данных

3.1. Оператор обязан предоставить субъекту персональных данных по его просьбе:

3.1.1. Информацию:

- о подтверждении факта обработки персональных данных Оператором;

- о правовых основаниях и цели обработки персональных данных;

- о цели и применяемых Оператором способах обработки персональных данных;

- о наименовании и месте нахождения Оператора;

- о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым они могут быть раскрыты на основании договора с Оператором или федерального закона;

- об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источнике их получения, если иной порядок их предоставления не предусмотрен федеральным законом;

- о сроках обработки персональных данных, в т.ч. сроках их хранения;

- о наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные федеральными законами в связи с выполнением Оператором обработки персональных данных.

3.1.2. Информацию о юридических последствиях отказа субъекта персональных данных представить персональные данные, если их представление является обязательным в соответствии с федеральным законом.

3.2. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных нормативными правовыми актами, регламентирующими порядок обработки персональных данных. С этой целью Оператор:

3.2.1. Назначает посредством издания соответствующего приказа ответственного за организацию обработки персональных данных - специалиста по кадрам. Ответственный за организацию обработки персональных данных обязан:

- осуществлять внутренний контроль за соблюдением Оператором законодательства Российской Федерации о персональных данных;

- доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных нормативных актов, приказов и распоряжений по вопросам обработки персональных данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, касающихся обработки персональных данных;

- участвовать в работе по рассмотрению обращений и запросов.

3.2.2. Определяет лиц, допущенных к обработке персональных данных.

3.2.3. Принимает с соблюдением установленного порядка локальные нормативные акты, определяющие организацию обработки персональных данных, издает приказы (распоряжения), нормативно-технические и нормативно-методические акты, устанавливающие единые требования к обработке персональных данных и процедуры, направленные на предотвращение и выявление нарушений, а также устранение последствий нарушений таких требований (процедур).

3.2.4. Разрабатывает и реализует комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, предусматривающий:

- определение угроз безопасности персональных данных в процессе их обработки;

- применение (проведение) организационных и технических мер (мероприятий) по обеспечению безопасности персональных данных в процессе их обработки;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты персональных данных от несанкционированного доступа;

- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по привлечению к ответственности виновных в его совершении;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к обрабатываемым персональным данным;

- обеспечение регистрации и учета всех действий, совершаемых с персональными данными в процессе обработки;

- контроль над принимаемыми мерами по обеспечению безопасности персональных данных.

3.2.5. Осуществляет контроль и (или) внутренний аудит соответствия метода обработки персональных данных нормативным правовым актам, регламентирующим порядок их обработки.

3.2.6. Доводит до сведения ответственного за организацию обработки персональных данных, иных работников, допущенных к обращению с персональными данными, требования к организации обработки персональных данных, содержащиеся в нормативных актах, приказах, распоряжениях.

3.2.7. Обеспечивает профессиональную подготовку (обучение) работников, допущенных к обращению с персональными данными, для надлежащего выполнения ими соответствующих полномочий.

3.3. Оператор обязан обеспечить неограниченный доступ:

3.3.1. К документу, определяющему организацию обработки персональных данных.

3.3.2. К сведениям о реализуемых требованиях к защите персональных данных.

3.4. До начала обработки персональных данных Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением персональных данных:

3.4.1. Обрабатываемых в соответствии с трудовым законодательством.

3.4.2. Полученных Оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

3.4.3. Относящихся к членам (участникам) общественного объединения (организации) и обрабатываемых соответствующим общественным объединением (организацией), действующим в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без письменного согласия субъектов персональных данных.

3.4.4. Сделанных субъектом персональных данных общедоступными.

3.4.5. Включающих только фамилии, имена и отчества субъектов персональных данных.

3.4.6. Необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях.

3.4.7. Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем (ГАИС), а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.

3.4.8. Обрабатываемых без использования средств автоматизации в соответствии с нормативными правовыми актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3.4.9. Обрабатываемых в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3.5. Уведомление направляется в виде бумажного или электронного документа и подписывается ответственным за организацию обработки персональных данных и его непосредственным начальником. Уведомление должно содержать следующие сведения:

3.5.1. Наименование и адрес Оператора.

3.5.2. Цель обработки персональных данных.

3.5.3. Категории персональных данных.

3.5.4. Категории субъектов, персональные данные которых обрабатываются.

3.5.5. Правовое основание обработки персональных данных.

3.5.6. Перечень действий с персональными данными.

3.5.7. Общее описание используемых Оператором способов обработки персональных данных.

3.5.8. Описание мер по защите персональных данных от несанкционированного доступа.

3.5.9. Фамилию, имя, отчество ответственного за организацию обработки персональных данных и его непосредственного начальника, номера их контактных телефонов, почтовые адреса и адреса электронной почты.

3.5.10. Дату начала обработки персональных данных.

3.5.11. Срок или условие прекращения обработки персональных данных.

3.5.12. Сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки.

3.6. Иное (указать конкретно).

4. Ответственность за нарушение требований к обработке персональных данных

4.1. Лица, виновные в нарушении требований к обработке персональных данных, несут за это ответственность, в т.ч.:

4.1.1. Дисциплинарную - в порядке, установленном локальными нормативными актами Оператора.

4.1.2. Материальную - в порядке, установленном Трудовым и Гражданским кодексами РФ.

4.1.3. Административную - в порядке, установленном Кодексом РФ об административных правонарушениях.

4.1.4. Гражданско-правовую - в порядке, установленном Гражданским кодексом РФ.

4.1.5. Уголовную - в порядке, установленном Уголовным кодексом РФ.

4.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения требований к обработке персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

4.3. Иное (указать конкретно).

Приложение: форма уведомления об обработке (намерении осуществлять обработку) персональных данных.

Источник - "Локальные нормативные акты юридических лиц и индивидуальных предпринимателей", "Налоговый вестник"