Содержание.
1. Общие понятия персональных данных работника, обработки и использовании персональных данных работника.
2. Основополагающие принципы защиты персональных данных работника.
3. Общие требования при обработке персональных данных работника.
4. Хранение и использование персональных данных работника.
5. Передача персональных данных работника.
6. Права работников по защите персональных данных.
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
1. Общие понятия
1.1. Персональные данные работника (ПДР) - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. ПДР относятся к категории конфиденциальной информации.
1.2. Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование ПДР.
2. Основополагающие принципы защиты ПДР
2.1. Личная ответственность работников за сохранность и конфиденциальность сведений о работе Отдела по персоналу (Отдел) и персональных данных, а также носителей этой информации.
2.2. Разбиение (дробление) знания персональных данных между разными работниками Отдела. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами Отдела.
2.3. Наличие четкой разрешительной системы доступа работников Отдела к документам, делам и базам данных.
2.4. Проведение регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников Отдела и кадровых документов в подразделениях Общества.
3. Общие требования при обработке ПДР
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке ПДР обязаны соблюдать следующие требования:
3.1. Обработка ПДР может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2. При определении объема и содержания обрабатываемых ПДР работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.3. Все ПДР следует получать от самого работника. Если ПДР можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.4. Работодатель не имеет права получать и обрабатывать ПДР о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.5. Работодатель не имеет права получать и обрабатывать ПДР о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.6. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан РФ.
3.7. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДР, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.8. Защита ПДР от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
3.9. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки ПДР, а также об их правах и обязанных в этой области.
3.10. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
3.11. Работодатели, работники и их представители должны совместно вырабатывать меры защиты ПДР.
4. Хранение и использование персональных данных работника.
Для обеспечения хранения ПДР необходимо выполнить следующие шаги:
4.1. Издание приказа или распоряжения о закреплении за работниками Отдела определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях этих работников, утверждение схемы доступа работников Отдела и руководящего состава Общества, структурных подразделений к документам Отдела; устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в Отделе, организация приема посетителей порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут храниться, кто несет ответственность за их сохранность и конфиденциальность.
Функционирование Управления должно быть подчинено, в том числе, решению задач обеспечения безопасности ПДР, их защиты:
4.4. В часы приема посетителей работники Отдела не должны выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются данного посетителя.
4.5. Не допускается отвечать на вопросы, связанные с передачей ПДР по телефону. Ответы на письменные запросы других учреждений и организаций даются в письменной форме на бланке Общества и в том объеме, который позволяет не разглашать излишний объем ПДР.
4.6. При выдаче справки с места работы необходимо удостовериться в личности работника, которому эта справка выдается. Не разрешается выдавать ее родственникам или сослуживцам лица, которому требуется справка (за исключением случаев предоставления нотариально заверенной доверенности). За получение справки работник Общества расписывается в журнале учета выдачи справок.
4.7. В Отделе дела, картотеки, учетные журналы и книги учета хранятся в рабочее и нерабочее время в металлических запирающихся шкафах. Работникам не разрешается при выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми.
4.8. На рабочем столе работника должен всегда находиться только тот массив документов и учетных карточек, с которым в настоящий момент он работает. Другие документы, дела, карточки, журналы должны находиться в запертом шкафу. Исполняемые документы не разрешается хранить в россыпи. Их следует помещать в папки, на которых указывается вид производимых с ними действий (подшивка в личные дела, для отправки и пр.).
4.9. В конце рабочего дня все документы, дела, листы бумаги и блокноты с рабочими записями, инструктивные и справочные материалы должны быть убраны в металлические шкафы, сейфы. На рабочем столе не должно оставаться ни одной бумажки. Черновики и редакции документов, испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются в специальной бумагорезательной машине.
4.10. Сдачу на охрану и снятие с охраны помещений Отдела осуществляют работники Отдела.
4.11. Уборка помещений допускается только в присутствии сотрудников Отдела.
Мусор, выносимый из помещений, должен сжигаться.
Хранение ПДР:
4.12. Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, имеют гриф "Строго конфиденциально". Материалы с результатами тестирования работающих работников, материалы их аттестаций, также имеют гриф строгой конфиденциальности.
4.13. Личное дело должно обязательно иметь опись документов, включенных в дело. Листы дела нумеруются в процессе формирования дела.
4.14. Все новые записи в дополнении к личному листку по учету кадров и учетных формах заверяются росписью работников Отдела.
4.15. В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью работника Отдела. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее подшитыми.
4.16. Личные дела могут выдаваться на рабочие места Директора Общества, начальника Отдела и инспектора по кадрам. Передача личных дел руководителям через секретаря не допускается. Другие руководители Общества могут знакомиться с личными делами подчиненных им сотрудников в помещении Отдела под наблюдением работника, ответственного за сохранность и ведение личных дел. Сотрудник Общества имеет право знакомиться только со своим личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные.
4.17. При возврате дела тщательно проверяется сохранность документов, отсутствия повреждений, включения в дело других документов или подмены документов. Просмотр дела производится в присутствии руководителя.
4.18. Трудовые книжки всегда хранятся отдельно от личных дел в закрытом сейфе.
4.19. Строгому контролю подлежит также работа со справочно-информационным банком данных по персоналу Общества (картотеками, журналами и книгами персонального учета сотрудников).
4.20. На документах, выходящих за пределы Отдела, может ставиться гриф "Конфиденциально" или "Для служебного пользования". В Отделе обязательно остаются копии всех отчетных и справочных документов.
4.21. В структурных подразделениях Общества могут быть следующие документы, содержащие ПДР: журнал табельного учета с указанием должностей, фамилий, инициалов сотрудников (находится у работника, ведущего табельный учет, -табельщика), штатное расписание (штатный формуляр) подразделения, в котором дополнительно может указываться, кто из сотрудников занимает ту или иную должность, вакантные должности (находится у руководителя подразделения), дело с выписками из приказов по личному составу, касающимися подразделения. Руководитель подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон и т.п.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел, имеющих гриф ограничения доступа.
5. Передача ПДР
При передаче ПДР работодатель должен соблюдать следующие требования:
5.1. Не сообщать ПДР третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных федеральным законом.
5.2. Не сообщать ПДР в коммерческих целях без его письменного согласия.
5.3. Предупредить лиц, получающих ПДР, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДР, обязаны соблюдать режим секретности (конфиденциальности).
5.4. Осуществлять передачу ПДР в пределах Общества в соответствии с локальными нормативными актами, с которыми работник должен быть ознакомлен под расписку.
5.5. Передаваемые руководителям отчетные и справочные сведения обязательно документируются в виде сводок, справок и т.п. Устное сообщение сведений, как правило, использоваться не должно, за исключением случаев, когда запрашивается единичная информация (дата рождения сотрудника, какой вуз окончил и т.п.).
5.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6. Права работников по защите персональных данных
В целях обеспечения защиты ПДР, хранящихся у работодателя, работники имеют право на:
6.1. Полную информацию об их ПДР и обработке этих данных.
6.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей ПДР, за исключением случаев, предусмотренных федеральным законом.
6.3. Определение своих представителей для защиты своих ПД.
6.4. Требование об исключении или исправлении неверных или неполных ПДР, а также данных, обработанных с нарушением Трудового кодекса РФ. При отказе работодателя исключить или исправить ПДР он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. ПДР оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
6.5. Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДР, обо всех произведенных в них исключениях, исправлениях или дополнениях.
6.6. Обжалование в суд любых неправомерных действий ли бездействия работодателя при обработке и защите его ПД.
7. Ответственность за нарушение норм, регулирующих обработку
и защиту персональных данных работника
7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДР, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Инспектор по кадрам
СОГЛАСОВАНО:
Юрисконсульт (______________________)