УТВЕРЖДЕНО
Приказом ГБУК ГДМ
от 16 сентября 2022 года № 58-ОД
Положение
об обработке и защите персональных данных работников
Государственного бюджетного учреждения культуры
города Москвы «Государственный Дарвиновский музей»
1. Общие положения
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников Государственного бюджетного учреждения культуры города Москвы «Государственный Дарвиновский музей» (далее - Работодатель). Под работниками подразумеваются лица, заключившие трудовой договор с Работодателем.
1.2. Цель настоящего Положения - защита персональных данных работников Государственного бюджетного учреждения культуры города Москвы «Государственный Дарвиновский музей» от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных", другие действующие нормативные правовые акты Российской Федерации.
1.4. Настоящее Положение и изменения к нему утверждаются руководителем Работодателя и вводятся приказом. Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
2. Понятие и состав персональных данных.
Понятие угроз безопасности и уровня защищённости
персональных данных. Цели обработки персональных данных.
2.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу.
2.2. Персональными данными, разрешенными субъектом персональных данных для распространения, являются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
2.3. Состав персональных данных работника:
- фамилия, имя, отчество;
-дата, месяц и год, рождения;
- пол, возраст;
- сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
- адрес места жительства;
- семейное положение, наличие детей, состав семьи, родственные связи;
- факты биографии и предыдущая трудовая деятельность (в том числе место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение, сведения о заработной плате;
- паспортные данные;
- сведения о воинском учете;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- размер заработной платы;
- наличие судимостей;
- номера телефонов;
- адрес электронной почты;
- содержание трудового договора;
- подлинники и копии приказов по личному составу;
- личные дела, трудовые книжки и сведения о трудовой деятельности;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;
- копии отчетов, направляемых в органы статистики;
- сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии и иные сведения, относящиеся к персональным данным работника;
- принадлежность лица к конкретной нации, этнической группе, расе;
- религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.);
- деловые и иные личные качества, которые носят оценочный характер.
Из указанного списка Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.
2.4. Сведения, указанные в п. 2.3 настоящего Положения, и документы, их содержащие, являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 50 лет срока хранения, если иное не определено законом.
2.5. Документами, содержащими персональные данные работников, являются:
- комплексы документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТД-Р);
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- копии отчетов, направляемых в государственные контролирующие органы.
2.6. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
2.7. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационной системе.
3. Обязанности Работодателя
3.1. В целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.1.2. При определении объема и содержания обрабатываемых персональных данных работника Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.1.6. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Работодателем за счет его средств в порядке, установленном федеральным законом.
3.1.8. Работники и их представители должны быть ознакомлены под подпись с локальными актами Работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4. Обязанности работника
Работник обязан:
4.1. Передавать Работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.
5. Права работника
Работник имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
5.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе Работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие Работодателя при обработке и защите его персональных данных.
5.7. Определять своих представителей для защиты своих персональных данных.
5.8. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
6. Сбор, обработка и хранение персональных данных
6.1. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника.
6.2. Цели обработки персональных данных:
Персональные данные работников используются для целей, связанных с выполнением работником трудовых функций. Работодатель для этой цели запрашивает у работника общие персональные данные: фамилия, имя, отчество; дата, месяц и год, рождения; сведения об образовании, профессия; адрес места жительства; семейное положение; специальные категории персональных данных: состояние здоровья, сведения о судимости; биометрические персональные данные: фото в бумажном и электронном виде.
Для достижения указанных целей Работодатель обрабатывает следующие персональные данные:
6.2.1 Категории и перечень обрабатываемых персональных данных
Персональные данные:
• фамилия, имя, отчество;
• данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
• сведения о должности, занимаемой в ГБУК ГДМ;
• сведения о деловых и иных личных качествах, носящих оценочный характер.
Биометрические персональные данные:
• фотографическое изображение;
• видеозапись.
6.2.2 Категории субъектов персональных данных.
Кандидаты для приема на работу к Работодателю:
• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• контактные данные;
• сведения об образовании, опыте работы, квалификации;
• иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
Работники и бывшие работники Работодателя:
• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• изображение (фотография, видеозапись);
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета (СНИЛС);
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
Члены семьи работников Работодателя:
• фамилия, имя, отчество;
• степень родства;
• год рождения;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
Клиенты и контрагенты Работодателя (физические лица):
• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства;
• контактные данные;
• замещаемая должность;
• индивидуальный номер налогоплательщика;
• номер расчетного счета;
• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
Персональные данные, представленные работником, обрабатываются Работодателем автоматизированным и без использования средств автоматизации способами. Работодатель не принимает, не снимает и не хранит копии личных документов работников. Документы, которые работник предъявляет Работодателю (справки, медицинские заключения и т.д.), хранятся в личном деле работника в течение 50 лет после расторжения с работником трудового договора.
К обработке персональных данных допускаются работники Работодателя, в должностные обязанности которых входит обработка персональных данных.
Обработка персональных данных осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в журналы, реестры и информационные системы Работодателя;
• использования иных способов обработки персональных данных.
Сроки обработки персональных данных определяются в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
Обработка персональных данных работников ГБУК ГДМ осуществляется в течение всего периода их работы.
В случаях выявления неправомерной обработки персональных данных, достижения цели обработки персональных данных, отзыва субъектом персональных данных согласия на обработку его персональных данных, указанные персональные данные подлежат уничтожению в сроки, установленные статьей 21 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению в соответствии с законодательством Российской Федерации.
Персональные данные подлежат уничтожению способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе, если это допускается форматом материального носителя.
После истечения срока нормативного хранения документов, которые содержат персональные данные работника, документы подлежат уничтожению. Для этого Работодатель создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. Акт о выделении дел к уничтожению согласуется с Главархивом Москвы. После согласования акта, дела с истекшими сроками хранения подлежат уничтожению. Персональные данные работников в электронном виде стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
6.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
6.4. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, перечень персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
6.5. Работник представляет Работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
6.6. При поступлении на работу работник заполняет анкету и автобиографию.
6.6.1. Анкета представляет собой перечень вопросов о персональных данных работника.
6.6.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
6.6.3. Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.
6.6.4. Автобиография составляется в произвольной форме, без помарок и исправлений.
6.6.5. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
6.6.6. Личное дело работника оформляется после издания приказа о приеме на работу.
6.6.7. Все документы личного дела подшиваются в обложку образца, установленного Работодателем. На ней указываются фамилия, имя, отчество работника, номер личного дела.
6.6.8. К каждому личному делу прилагается одна цветная фотография работника размером 3х4 см (вклеивается на личной карточке работника по форме № Т-2).
6.6.9. Все документы, поступающие в личное дело, располагаются в хронологическом порядке.
6.6.10. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
6.7. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.
6.7.1. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.
6.8. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
6.9. Обработка персональных данных работников Работодателем возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством Российской Федерации (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, п. п. 2.1 - 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных").
6.10. Письменное согласие работника на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 - 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
6.11. Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
6.11.1. Письменное согласие на обработку персональных данных, разрешенных для распространения, работник предоставляет Работодателю лично.
6.11.2. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Работодателю требования, указанного в п. 5.8 настоящего Положения.
6.12. В соответствии со ст. 86 Трудовым кодексом Российской Федерации в целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных работника должны соблюдать, в частности, следующие общие требования:
6.12.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
6.12.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
6.12.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
6.12.3. Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами;
6.12.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
6.12.5. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
6.12.6. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;
6.12.7. Работники и их представители должны быть ознакомлены под роспись с документами Работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
6.12.8. Работники не должны отказываться от своих прав на сохранение и защиту тайны;
6.12.9. Работодатель, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
7. Передача персональных данных
7.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
8. Доступ к персональным данным работника
8.1. Внутренний доступ.
Право доступа к персональным данным работника имеют:
- руководитель Работодателя;
- специалист по кадрам;
- заведующий отделом безопасности;
- ведущий юрисконсульт по согласованию с руководителем Работодателя, к тем данным, которые необходимы для выполнения конкретных функций;
- руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения) по согласованию с руководителем Работодателя;
- при переводе из одного структурного подразделения в другое доступ к персональным данным работника может иметь руководитель нового подразделения по согласованию с руководителем Работодателя;
- работники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;
- сам работник, носитель данных.
8.2. Внешний доступ.
Работодатель вправе осуществлять передачу персональных данных работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных действующим законодательством Российской Федерации.
Перед передачей персональных данных Работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.
Не требуется согласие работника на передачу персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;
- в налоговые органы;
- в военные комиссариаты;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства Работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей.
8.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
8.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
9. Защита персональных данных работников
9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только специалистом по кадрам, осуществляющим данную работу в соответствии со своими служебными обязанностями, зафиксированными в его должностной инструкции.
9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Работодателя и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках.
9.3. Передача информации, содержащей сведения о персональных данных работников, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
9.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
9.6. Работодатель обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
9.7 Работодатель принимает следующие меры по защите персональных данных:
9.7.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите персональных данных.
9.7.2. Разработка политики в отношении обработки персональных данных.
9.7.3. Установление правил доступа к персональным данным, обеспечение регистрации и учета всех действий, совершаемых с персональными данными.
9.7.4. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
9.7.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
9.7.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.7.7. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
9.7.8. Обнаружение фактов несанкционированного доступа к персональным данным.
9.7.9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.7.10. Обучение работников, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Работодателя в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
9.7.11. Осуществление внутреннего контроля и аудита.
9.7.12. Определение типа угроз безопасности и уровней защищенности персональных данных, которые хранятся в информационных системах, принятие мер по защите информации.
9.8. Угрозы защищенности персональных данных.
9.8.1. Угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
9.8.2. Угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
9.8.3. Угрозы третьего типа. Потенциальной опасности ни от системного, ни от программного обеспечения нет.
9.9. Уровни защищенности персональных данных.
9.9.1. Первый уровень защищенности. Если Работодатель отнес информационную систему к первому типу угрозы или если тип угрозы второй, но Работодатель обрабатывает специальные категории персональных данных более 100 тыс. физических лиц без учета работников.
9.9.2. Второй уровень защищенности. Если тип угрозы второй и Работодатель обрабатывает специальные категории персональных данных работников вне зависимости от их количества или специальные категории персональных данных менее чем 100 тыс. физических лиц, или любые другие категории персональных данных более чем 100 тыс. физических лиц, или при третьем типе угрозы Работодатель обрабатывает специальные категории данных более чем 100 тыс. физических лиц.
9.9.3. Третий уровень защищенности. Если при втором типе угрозы Работодатель обрабатывает общие персональные данные работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Работодатель обрабатывает специальные категории персональных данных работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Работодатель обрабатывает биометрические персональные данные, или при третьем типе угрозы Работодатель обрабатывает общие персональные данные более чем 100 тыс. физических лиц.
9.9.4. Четвертый уровень защищенности. Если при третьем типе угрозы Работодатель обрабатывает только общие персональные данные работников или менее чем 100 тыс. физических лиц.
9.10. При четвертом уровне защищенности персональных данных Работодатель:
● обеспечивает режим безопасности помещений, в которых размещаете информационную систему;
● обеспечивает сохранность носителей информации;
● утверждает перечень работников, допущенных до персональных данных;
● использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
9.11. При третьем уровне защищенности персональных данных дополнительно к мерам, перечисленным в пункте 9.10 настоящего Положения, Работодатель назначает ответственного за обеспечение безопасности персональных данных в информационной системе.
9.12. При втором уровне защищенности персональных данных дополнительно к мерам, перечисленным в пунктах 9.10, 9.11 настоящего Положения, Работодатель ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
9.13. При первом уровне защищенности персональных данных дополнительно к мерам, перечисленным в пунктах 9.10 - 9.12 настоящего Положения, Работодатель:
● обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к персональным данным в системе;
● создает отдел, ответственный за безопасность персональных данных в системе, либо возлагает такую обязанность на один из существующих отделов Работодателя.
9.14. В целях защиты персональных данных на бумажных носителях Работодатель:
● приказом назначает ответственного за обработку персональных данных;
● ограничивает допуск в помещения, где хранятся документы, которые содержат персональные данные работников;
● хранит документы, содержащие персональные данные работников в шкафах, запирающихся на ключ;
● хранит трудовые книжки работников в сейфе (в кабинете директора).
9.15. В целях обеспечения конфиденциальности документы, содержащие персональные данные работников, оформляются, ведутся и хранятся только работниками бухгалтерии, специалистом по кадрам и директором.
9.16. Работники бухгалтерии, специалист по кадрам, допущенные к персональным данным работников, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных работников не допускаются.
9.17. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
9.18. Передача информации, содержащей сведения о персональных данных работников, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
10. Гарантии конфиденциальности персональных данных.
Ответственность за разглашение информации, связанной
с персональными данными работника
10.1. Все работники организации, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Положением, требованиями действующего законодательства РФ.
10.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
10.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующими федеральными законами.