ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ
ДАННЫХ
РАБОТНИКОВ
1. Общие положения.
1.1. Положение об обработке персональных данных работников (далее – Положение) разработано в соответствии с законодательными актами, Трудовым законодательством (далее – ТЗ), Законом «Об информации, информационных технологиях и о защите информации», Законом «О персональных данных», иными нормативными актами, действующими на территории государства.
1.2. Положение определяет порядок сбора, хранения, комбинирования, передачи и любого другого использования персональных данных работников организации (далее – предприятие, работодатель) в соответствии с законодательством.
1.3. Действие настоящего положения распространяется на работников предприятия, имеющих право доступа к персональным данным.
2. Основные понятия. Состав персональных данных работников.
2.1. В настоящем Положении используются следующие основные понятия:
а) персональные данные – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность;
б) обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
в) распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
г) предоставление персональных данных – действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
д) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
е) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;
ж) информация – сведения (сообщения, данные) независимо от формы их представления;
з) документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
и) анкета – документ, содержащий перечень вопросов о персональных данных работника.
2.2. Персональные данные работников используются на предприятии в целях выполнения требований:
а) трудового законодательства при приеме на работу и заключении трудового договора, в процессе трудовых отношений, при предоставлении гарантий и компенсаций;
б) законодательства о государственной обязанности и государственной службе при регистрации работников и бронировании граждан, пребывающих в запасе;
в) законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также страховых взносов на добровольное и обязательное медицинское, пенсионное и социальное страхования;
г) пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на добровольное и обязательное пенсионное страхование, и обеспечение;
д) заполнения первичной статистической документации в соответствии с «Об унифицированных формах первичной учетной документации по учету труда и его оплаты».
2.3. Сведения о персональных данных работников относятся к числу конфиденциальных. Работники предприятия, получившие доступ к персональным данным, обязаны их не раскрывать третьим лицам и не распространять персональные данные без согласия работника.
2.4. Информация, представляемая работником при поступлении на работу на предприятие, должна иметь документированную форму.
При заключении трудового договора лицо, поступающее на работу, должен представить следующие документы, содержащие персональные данные:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
в) страховое свидетельство государственного пенсионного страхования (СНИЛС);
г) документы для лиц, подлежащих государственной регистрации;
д) документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
е) свидетельство о присвоении ИНН (при его наличии у работника);
ж) заключение по результатам прохождения медицинского осмотра;
з) водительское удостоверение, если это требуется в связи с выполнением трудовой функции работника;
и) справку, выданную компетентными органами, о характеристике.
2.5. В документы и информационные системы учета персонала работодателем вносится информация, содержащая следующие персональные данные работника:
а) общие сведения (фамилия, имя, отчество, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
б) сведения о регистрации;
в) данные о приеме на работу;
г) сведения об аттестации;
д) сведения о повышении квалификации;
е) сведения о профессиональной переподготовке;
ж) сведения о наградах (поощрениях), почетных званиях;
з) сведения об отпусках;
и) сведения о социальных гарантиях;
к) сведения о месте жительства (по паспорту и фактически) и о контактных теле–фонах;
л) биометрические персональные данные (фотографии).
2.6. К документам, содержащим персональным данные работника, относятся следующие документы персонального учета:
а) трудовые договоры и дополнительные соглашения к ним;
б) документы о прохождении обучения, стажировки, испытательного срока;
в) документы о повышении квалификации (протоколы, справки, свидетельства и т.д.);
г) документы, связанные с привлечением работника к дисциплинарной ответственности (служебные записки, докладные, объяснительные и прочие);
д) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
е) документы о состоянии здоровья детей и других близких родственников, когда с наличием таких документов связано предоставление работнику каких–либо гарантий и компенсаций;
ж) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством;
з) документы о беременности работника и возрасте детей для предоставления матери (отцу, другим родственникам) установленных законом условий труда, гарантий и компенсаций;
и) лицевой счет и наименование финансовой организации, на который перечисляется заработная плата;
к) иные документы персонального учета, относящиеся к персональным данным работника.
2.7. Персональные данные работника содержатся в следующих документах:
а) документы, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
б) материалы по анкетированию, проведению собеседований с кандидатом на должность;
в) подлинники и копии приказов и распоряжений по персоналу;
г) документы, содержащие основания к приказу по личному составу;
д) справочно–информационные данные по персоналу (картотеки, журналы)
е) подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия и руководителям структурных подразделений;
ж) копии отчетов, направляемых в государственные органы статистики, налоговые инспекции и другие учреждения;
з) справки о доходах физического лица;
и) реестры сведений о начисленных и уплаченных страховых взносах на обязательное пенсионное страхование и страховом стаже застрахованных лиц;
к) расчеты по начисленным и уплаченным страховым взносам на добровольное и обязательное медицинское и социальное страхование на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, а также по расходам на выплату страхового обеспечения;
л) реестры на оплату пенсионных взносов, удержанных из заработной платы согласно заявлению и заключенным личным договорам негосударственного пенсионного обеспечения (НПО);
м) ведомости на перечисление заработной платы;
н) справки по месту требования;
о) платежные поручения на перечисления удержаний из заработной платы.
3. Получение персональных данных.
3.1. Персональные данные работника предоставляются самим работником.
3.2. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.3. Работник обязан предоставлять работодателю достоверную информацию о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
3.4. Если персональные данные работника возможно получить только у третьей стороны, то работодатель:
а) уведомляет работника не позднее 5 рабочих дней до даты запроса о получении данных у третьей стороны, сообщив работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
б) получает от работника письменное согласие;
в) при получении согласия делает запрос и получает необходимые данные.
3.5. При изменении персональных данных работник должен предоставить работодателю в срок, не превышающий 14 календарных дней, копию документа, подтверждающего изменение персональных данных. Работодатель имеет право запрашивать у работника дополнительные сведения и документы, подтверждающие их достоверность.
3.6. Сотрудник, осуществляющий сбор информации, при получении персональных данных или получении измененных персональных данных работника должен:
а) проверить достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами;
б) сделать копии представленных документов;
в) подшить копии документов в личное дело работника;
г) внести соответствующие изменения в кадровые документы;
д) при необходимости подготовить и подписать соответствующие документы, в которых отразить соответствующие изменения.
3.7. При поступлении на работу работник заполняет анкету «Персональные данные работника». Форма анкеты представлена в приложении № 1.
3.8. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
3.9. Анкета хранится в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
3.10. Все документы личного дела подшиваются в папку (файл–регистратор). На ней указываются фамилия, имя, отчество работника, табельный номер.
3.11. В личное дело работника прилагаются одна фотография размером 3×4 см.
3.12. Все документы, поступающие в личное дело, подшиваются (скрепляются), и располагаются в хронологическом порядке.
3.13. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
3.14. Информация, содержащая персональные данные работника, вносится в базу данных по учету персонала автоматизированной системы R/3 (модуль HR) и унифицированную форму Т–2 «Личная карточка работника».
4. Обработка и передача персональных данных.
4.1. Общие требования при обработке персональных данных работника и гарантии их защиты определены Трудовым законодательством.
4.2. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном росте, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности личного имущества.
4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством информационной системы).
4.4. В целях обработки персональных данных работодатель обязан получить согласие работника на обработку его персональных данных в письменном виде. Форма согласия на обработку персональных данных работника представлена в приложении № 2.
4.5. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
а) не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, установленных законодательством;
б) не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
в) предупредить работников, осуществляющих сбор, обработку, хранение и передачу персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность;
г) разрешать доступ к персональным данным только тем работникам, которые имеют право осуществлять сбор, обработку, хранение и передачу персональных данных, при этом данные работники должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
д) не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
е) передавать персональные данные работника представителям работников в порядке, установленном ТЗ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
5. Хранение и защита персональных данных.
5.1. Все операции по оформлению, формированию, ведению и хранению информации, содержащей персональные данные, должны выполняться только теми работниками, которые осуществляют данную работу в соответствии со своими обязанностями, зафиксированными в их должностных инструкциях.
5.2. Ответственность за организацию обработки персональных данных возлагается на должностное лицо, назначаемое приказом генерального директора.
5.3. Допуск к персональным данным работника разрешен должностным лицам, которым персональные данные необходимы для выполнения конкретных трудовых функций. Список лиц, имеющих право доступа к персональным данным работников, утверждается руководителем.
5.4. Право доступа к персональным данным работника имеют:
а) руководитель;
б) директор;
в) сотрудники управления по работе с персоналом, инспекторы по кадрам и инструкторы по организации и нормированию труда структурных подразделений;
г) главный бухгалтер и сотрудники главной бухгалтерии – при подготовке документов, необходимой для выполнения конкретных функций;
д) руководитель по безопасности и сотрудники управления службы безопасности – в рамках своих полномочий;
е) руководитель и сотрудники управления по юридическим вопросам – в рамках выполнения своих должностных обязанностей;
ж) руководитель и сотрудники канцелярии, техники (по документации) структурных подразделений – при обороте, согласовании, регистрации документов, подготовке и сдаче их к хранению в архив;
з) руководители структурных подразделений (доступ к личным данным работников своего подразделения и работников, принимаемых на работу);
и) руководители и сотрудники управления АСУП и управления автоматизации – при обработке информации в автоматизированных информационных системах и их сопровождении; к) сам работник предприятия (к своим персональным данным);
л) прочие работники предприятия, которым в силу выполнения своих трудовых обязанностей, необходим доступ к персональным данным.
5.5. Работники предприятия, осуществляющие сбор, обработку, хранение и передачу персональных данных, обязаны ознакомиться с настоящим Положением и подписать соглашение о неразглашении персональных данных работников. Форма соглашения представлена в приложении № 3.
5.6. Соглашение о неразглашении персональных данных работников оформляется в письменной форме за подписью работника предприятия и является дополнением к трудовому договору, заключенному между работником и работодателем.
5.7. Персональные данные по письменному запросу могут представляться в государственные органы: налоговые инспекции, органы безопасности, исполнительные органы, миграционную службу, органы статистики, социального страхования, пенсионные фонды, муниципальные органы и т.д.
5.8. Передача информации, содержащей сведения о персональных данных работников предприятия по телефону, факсу, электронной почте, на электронных и бумажных носителях без письменного согласия работника запрещается, кроме предоставления информации в соответствии с законодательством.
5.9. Ответы на письменные запросы других организации и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятия.
5.10. Хранение персональных данных работников осуществляется на электронных носителях, а также в бумажном варианте.
5.11. Доступ к персональным данным на электронных носителях защищены паролями доступа. Доступ в базу данных по учету персонала автоматизированной системы R/3 (модуль HR) и прочие автоматизированные информационные системы осуществляется только через личный доступ – пароль доступа.
5.12. Документы, содержащие персональные данные, должны храниться в помещениях подразделений, ответственных за ведение и хранение таких документов.
5.13. Входные двери помещений, в которых хранятся персональные данные работников, оборудуются замками, гарантирующими надежное закрытие помещений во внерабочее время, и оснащаются охранно–пожарной сигнализацией.
5.14. Документы, содержащие персональные данные, подлежащие передаче для хранения в архив, формируются в дела постоянного и временного хранения и передаются на хранение в архив канцелярии. До момента передачи документы хранятся в подразделениях не более трех лет.
6. Уничтожение персональных данных.
6.1. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством.
6.2. Персональные данные работников подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении таких целей.
7. Права работника по обеспечению защиты своих персональных данных.
7.1. Работники имеют право на:
а) полную информацию о своих персональных данных и обработке этих данных;
б) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством;
в) определение своих представителей для защиты своих персональных данных;
г) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
д) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
е) обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
8. Обязанности и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных.
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение, передачу и защиту персональных данных работника, несут дисциплинарную, материальную, гражданско–правовую, административную или уголовную ответственность в соответствии с законодательством.
8.2. Представление работником подложных документов является основанием для вынесения дисциплинарных взысканий вплоть до увольнения.
Утверждено Председателем всемирного верховного совета–совета безопасности