Работа с персональными данными

1. ОБЩИЕ ПОЛОЖЕНИЯ 

1.1. Положение о персональных данных в Государственном бюджетном учреждении культуры города Москвы "Государственный биологический музей им. К.А. Тимирязева" (далее – Положение) устанавливает правила работы с персональными данными работников Государственного бюджетного учреждения культуры города Москвы "Государственный биологический музей им. К.А. Тимирязева" (далее – учреждение). 

1.2. Цель разработки настоящего Положения – определение порядка обработки персональных данных в учреждении, обеспечение защиты прав и свобод работников и иных лиц при работе с их персональными данными, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящее Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами. 

1.3. Настоящее Положение вступает в силу с момента его утверждения приказом руководителя учреждения. 

1.4. Все работники должны быть ознакомлены с настоящим Положением под подпись. 

2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ 

2.1. Для целей настоящего Положения используются следующие термины и определения: Персональные данные работника – любые сведения, прямо или косвенно относящиеся к работнику и необходимые работодателю в связи с трудовыми отношениями. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия работника или наличия иного законного основания. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование о соблюдении конфиденциальности.

2.2. Перечень информации, составляющей персональные данные работника: 

а) Информация о работнике: 

- фамилия, имя, отчество, возраст, дата рождения;

 - паспортные данные; 

- сведения об образовании, специальности, квалификации, трудовом стаже, предыдущем месте работы;

 - сведения о повышении квалификации и профессиональной переподготовке, прохождении аттестации; 

- занимаемая должность или выполняемая работа; 

- сведения о воинском учете;

 - сведения о заработной плате и иных доходах работника; 

- сведения о социальных гарантиях и льготах и основаниях их предоставления;

 - сведения о состоянии здоровья работника, о результатах медицинского обследования, психиатрического освидетельствования и т.п.;

 - адрес места жительства, номер телефона;

 - сведения о наличии судимости; - сведения о дисциплинарных взысканиях и проступках;

 - сведения о поощрениях работника;

 - сведения об особом социальном статусе работника (инвалидность, донор, беременность, член профсоюза и др.); 

- сведения о личной (интимной) и семейной жизни работника, включая личную и семейную тайны; 

- сведения об обязательном и дополнительном страховании работника и членов его семьи; 

- содержание трудового договора, трудовой книжки, приказов, личной карточки, характеристик и иных кадровых документов, касающихся работника;

 - другие сведения о работнике.

 б) Информация о семейном положении работника и членах его семьи: 

- о наличии детей;

 - о состоянии здоровья членов семьи; 

- о наличии у работника иждивенцев;

 - о необходимости ухода за больным членом семьи; 

- об усыновлении (удочерении);

 - об иных фактах, дающих основание для предоставления работникам гарантий и компенсаций, предусмотренных законодательством.

3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 

3.1. Принципы обработки и защиты персональных данных в учреждении:

 - сбор и обработка персональных данных осуществляются в порядке и в целях, предусмотренных законодательством и настоящим Положением;

 - персональные данные не могут быть использованы для осуществления контроля за поведением работника, в целях дискриминации, причинения морального и (или) материального ущерба, затруднения в реализации прав и свобод;

 - обеспечение конфиденциальности персональных данных;

 - недопустимость злоупотребления правом при обработке и предоставлении персональных данных.

 3.2. Защита персональных данных осуществляется в целях:

 - предотвращения утечки, хищения, утраты, искажения, подделки и иных неправомерных действий с информацией, составляющей персональные данные; 

- предотвращения угроз безопасности личности работника, членов его семьи;

 - защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных; 

- обеспечения прав работников в области персональных данных;

 - обеспечения сохранности имущества работодателя и работников.

 3.3. Работодатель принимает следующие меры по защите персональных данных:

 - разработка норм о защите персональных данных;

 - определение и закрепление перечня информации, составляющей персональные данные; 

- ограничение доступа к информации, составляющей персональные данные, посредством установления порядка обращения с этой информацией и контроля за его соблюдением;

 - ведение учета лиц, получивших доступ к информации, составляющей персональные данные, и лиц, которым такая информация была предоставлена или передана; 

- применение средств и методов технической защиты конфиденциальности информации (установлены запирающиеся металлические шкафы, установлена пожарная сигнализация, видеонаблюдение, круглосуточный охранный пост). 

3.4. Лица, обязанные обеспечивать конфиденциальность персональных данных. 

3.4.1. Лица, имеющие доступ к персональным данным, и лица, ответственные за их обработку, должны принимать меры, препятствующие ознакомлению с персональными данными лиц, не имеющих доступа к персональным данным. 

3.4.2. К лицам, обязанным обеспечивать конфиденциальность персональных данных, относятся: 

- руководитель учреждения; - заместители руководителя учреждения;

 - руководители структурных подразделений (в отношении персональных данных сотрудников своих подразделений); 

- работники кадровой службы, бухгалтерии, осуществляющие получение, обработку, хранение, использование и передачу персональных данных. Конкретный перечень лиц, получающих доступ к персональным данным и осуществляющих их обработку, утверждается приказом директора учреждения и хранится в отделе кадров. 

3.4.3. С лиц, получающих доступ к персональным данным и осуществляющих обработку персональных данных, берется обязательство о неразглашении конфиденциальной информации. Если выполнение работы связано с доступом к конфиденциальной информации, а лицо отказывается от принятия на себя обязанностей по обеспечению конфиденциальности сведений, трудовой договор с таким работником не заключается.

3.5. Организация и ведение конфиденциального делопроизводства. 

3.5.1. Все документы, содержащие персональные данные, должны сохраняться в режиме конфиденциальности и быть доступными только тем лицам, которые имеют допуск к таким сведениям в силу исполнения ими своих трудовых обязанностей. Организация конфиденциального делопроизводства должна исключать ознакомление с персональными данными лиц, не имеющих такого доступа.

 3.5.2. При работе с документами, содержащими персональные данные, запрещается:

 - делать выписки без соответствующего разрешения руководителя учреждения;

 - знакомить с такими документами неуполномоченных лиц; 

- использовать информацию из таких документов в открытых сообщениях, докладах, переписке, рекламных изданиях;

 - оставлять без присмотра на рабочем месте такие документы. 

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

 4.1. Обработка персональных данных осуществляется в целях:

 - оформления трудовых отношений;

 - оплаты труда; 

- обеспечения сохранности имущества;

 - предоставления условий труда, гарантий и льгот, предусмотренных нормативными правовыми актами, соглашениями, локальными нормативными актами, трудовыми договорами; 

- обеспечения личной безопасности работников; 

- обеспечения безопасных условий труда.

 4.2. Требования к обработке персональных данных.

 4.2.1. Обработка персональных данных работников осуществляется с их письменного согласия. 

4.2.2. Письменное согласие работника на обработку персональных данных включает в себя:

 - наименование и юридический адрес учреждения; 

- фамилию, имя, отчество, адрес работника, документы, удостоверяющие личность (номер, сведения о дате выдачи документа и выдавшем его органе);

 - цель и способ обработки персональных данных;

 - перечень данных, на обработку которых дается согласие;

 - перечень действий, на совершение которых дается согласие;

 - срок, в течение которого действует согласие, порядок его отзыва

. 4.2.3. Обработка персональных данных без согласия работника может осуществляться в следующих случаях:

 - персональные данные являются общедоступными;

 - в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

 - для защиты жизни, здоровья или иных жизненно важных интересов работника, если получить его согласие невозможно;

 - если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом; 

- в других случаях, предусмотренных законодательством. 

4.2.4. Без согласия работников на официальном сайте учреждения в сети Интернет размещается следующая информация, содержащая их персональные данные: фамилии, имена, отчества руководителя учреждения, заместителей руководителя и руководителей структурных подразделений; информация о персональном составе работников структурных подразделений, их фамилии, имена, отчества, занимаемые должности, наличие ученой степени. 

4.3. Получение персональных данных работников. 

4.3.1. Все персональные данные работника следует получать у него самого.

 4.3.2. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работник должен быть уведомлен о целях, предполагаемых источниках и способах получения его персональных данных, а также о характере подлежащих получению сведений и последствиях отказа дать письменное согласие на получение таких сведений.

 4.3.3. В процессе трудоустройства от работника могут быть затребованы только те документы и сведения, которые предусмотрены законом и необходимы в связи с выполнением работы. При заключении трудового договора работник должен предоставить: 

- паспорт или иной документ, удостоверяющий личность;

 - трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

 - страховое свидетельство государственного пенсионного страхования, за исключением случаев, когда трудовой договор заключается впервые; 

- документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

 - документ об образовании или наличии специальных знаний, за исключением случаев, когда работа не требует соответствующего образования или специальных знаний. 

- справку об отсутствии судимости, прекращении уголовного преследования по реабилитирующим основаниям. При заключении трудового договора формируется личное дело работника, в которое подшиваются копии документов об образовании или наличии специальных знаний и справка об отсутствии судимости, прекращении уголовного преследования по реабилитирующим основаниям. В личную карточку вносятся сведения, предоставленные работником.

 4.3.4. Получение сведений о работнике (беременность, инвалидность, временная нетрудоспособность, обучение в учебных заведениях начального, среднего и высшего профессионального образования, членства в профсоюзной организации и др.) и членах его семьи (наличие несовершеннолетних детей, больных членов семьи, которые нуждаются в уходе и др.) допускается исключительно для предоставления работнику гарантий, компенсаций и других льгот, предусмотренных трудовым законодательством, коллективным договором (при его наличии), соглашением, локальным нормативным актом или трудовым договором.

 4.4. Передача персональных данных.

 4.4.1. Персональные данные работника могут быть переданы третьим лицам только с его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или предусмотрено федеральным законом.

 4.4.2. Без письменного согласия работника его персональные данные предоставляются: 

- в Пенсионный фонд Российской Федерации; 

- в Федеральный фонд обязательного медицинского страхования; 

- в Фонд социального страхования Российской Федерации;

 - в военные комиссариаты;

- в другие органы и учреждения в случаях, предусмотренных законодательством. 

4.4.3. Передача персональных данных работников учреждения производится в порядке, исключающем неправомерное их использование и несанкционированный доступ к такой информации. 

4.5. Хранение персональных данных. 

4.5.1. Все персональные данные хранятся в недоступном для неуполномоченных лиц месте (в специальных выделенных для хранения документов помещениях, в сейфах или иных закрывающихся на замок шкафах). 

4.5.2. В организации обеспечивается хранение первичной учетной документации по учету труда и его оплаты, документов по учету использования рабочего времени, а также иных документов, составляющих персональные данные работников. Документы, содержащие персональные данные, передаются в архив в сроки, предусмотренные законом, и в соответствии процедурой, установленной нормативными актами.

 5. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА В ОБЛАСТИ ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

5.1. Работник имеет право на:

 - доступ к своим персональным данным; 

- получение информации о способе, порядке и целях обработки своих персональных данных;

 - уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

 - защиту от неправомерных действий (бездействий) в отношении своих персональных данных. 

5.2. Работник обязан:

 - предоставлять достоверную информацию о своих персональных данных;

 - сообщать об изменении своих персональных данных с приложением подтверждающих документов;

 - не разглашать персональные данные других работников, ставшие известными ему в связи с исполнением трудовых обязанностей.

 6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ 

6.1. За нарушение правил обработки и хранения персональных данных, установленных настоящим Положением, работники могут быть привлечены к дисциплинарной ответственности, включая увольнение по соответствующему основанию. 

6.2. Нарушение порядка сбора, хранения, использования и распространения персональных данных может повлечь привлечение к административной ответственности лица, совершившего данное нарушение.

6.3. Лица, нарушившие неприкосновенность частной жизни, личную и семейную тайну, тайну усыновления могут быть привлечены к уголовной ответственности. 

6.4. Моральный вред, причиненный работнику вследствие нарушения правил обработки его персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.