Положение о персональных данных

ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ

Сальского городского отделения Ростовского областного отделения Общероссийской общественной организации «Всероссийское добровольное пожарное общество»

(ВДПО г. Сальска Ростовской области)

​г. Сальск

2023 г.

​​
Глава 1. Общие положения

 

1.1. Настоящее Положение о персональных данных (далее – Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом РФ от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом РФ от 27.07.2006 года № 152-ФЗ «О персональных данных», Указом Президента РФ от 06.03.1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» и другими нормативными правовыми актами.

1.2. Настоящее Положение определяет порядок работы (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных) персональных данных работников клиентов (заказчиков) ВДПО г. Сальска Ростовской области и гарантии конфиденциальности сведений, предоставляемых работником работодателю.

1.3. Персональные данные работника ВДПО г. Сальска Ростовской области относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.4. Настоящее Положение утверждается председателем совета ВДПО г. Сальска Ростовской области (далее – Работодатель).

1.5. Настоящее положение вступает в силу в момент его утверждения отдельным приказом Работодателя и действует бессрочно до замены новым локальным правовым актом аналогичного назначения.

1.6. Все работники должны быть ознакомлены с настоящим Положением, а также со всеми дополнениями и изменениями к нему под роспись.

1.7. Положение должно быть опубликовано на сайте ВДПО г. Сальска Ростовской области. Копия, заверенная в надлежащем порядке, должна быть размещена на информационном стенде ВДПО г. Сальска Ростовской области.

 

Глава 2. Понятие и состав персональных данных работника

 

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Персональные данные работника - это необходимая работодателю в связи с трудовыми отношениями информация о конкретном сотруднике.

К персональным данным работника относятся:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности работника;
  • идентификационный номер налогоплательщика;
  • номер страхового свидетельства государственного пенсионного страхования;
  • адреса фактического места проживания и регистрации по месту жительству;
  • почтовые и электронные адреса;
  • номера телефонов;
  • фотографии
  • данные о семейном положении и составе семьи;
  • данные об образовании работника, наличии специальных знаний или подготовки;
  • данные о профессии, специальности работника;
  • сведения о доходах работника;
  • данные медицинского характера, в случаях, предусмотренных законодательством;
  • данные о занимаемых ранее должностях и стаже работы;
  • информация о воинской обязанности;
  • наличие судимостей;
  • данные, содержащиеся в трудовой книжке работника и его личном деле;
  • сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах, командировании, рабочем времени и пр.);
  • сведения о других договорах (индивидуальной, коллективной материальной ответственности, ученических, оказания услуг и т. п.), заключаемых при исполнении трудового договора;
  • иные персональные данные, при определении объема и содержания которых работодатель руководствуется настоящим Положением и законодательством РФ.

 

Глава 3. Обработка персональных данных работника

 

3.1. Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Обработка персональных данных работника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством РФ.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных убеждениях, частной жизни, сведений о членстве в общественных объединениях или его профсоюзной деятельности. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать вышеперечисленные данные о частной жизни работника только с его письменного согласия. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.3. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 Федерального закона №152-ФЗ «О персональных данных», обработка персональных данных осуществляется работодателем без письменного согласия работника, за исключением случаев, предусмотренных федеральным законом.

3.4. Все персональные данные о работнике работодатель может и должен получить от него самого.

3.5. Работник обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных в трехдневный срок. Работодатель имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.6. Персональные данные работника хранятся в отделе кадров в личном деле работника. Личные дела и личные карточки хранятся в бумажном виде.

Примечание: Хранение персональных данных работников в бухгалтерии и иных структурных подразделениях работодателя, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.

3.7. Сотрудник работодателя, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:

обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц;

при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое приказом работодателя будет возложено исполнение его трудовых обязанностей;

при увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию работодателя.

3.8. Доступ к персональным данным работников имеют сотрудники работодателя, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей (Приложение 1).

3.9. Процедура оформления доступа к персональным данным работника включает в себя:

ознакомление работника под роспись с настоящим Положением.

истребование с сотрудника (за исключением председателя совета ВДПО г. Сальска Ростовской области) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки, подготовленного по установленной форме (Приложение 2).

3.10. Сотрудники работодателя, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных трудовых функций.

3.11. Доступ к персональным данным работников без специального разрешения имеют работники, занимающие в организации следующие должности:

  • председатель совета ВДПО г. Сальска Ростовской области;
  • распределитель работ;
  • главный бухгалтер;
  • инструктор по противопожарной профилактике;
  • руководители структурных подразделений по направлению деятельности (доступ к документам, содержащим персональные данные подчиненного им сотрудника).

Руководители структурных подразделений имеют право ознакомиться с документами, содержащими персональные данные подчиненного им работника, в помещении отдела кадров в присутствии сотрудника отдела кадров, ответственного за работу с соответствующими документами.

3.12. Допуск к персональным данным работника других сотрудников работодателя, не имеющих надлежащим образом оформленного доступа, запрещается.

3.13. Работник имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей его персональные данные. Работник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.

3.14. Отдел кадров вправе передавать персональные данные работника в бухгалтерию и иные структурные подразделения, в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей.

При передаче персональных данных работника, отдел кадров предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

3.15. Передача (обмен и т.д.) персональных данных между подразделениями ВДПО г. Сальска Ростовской области осуществляется только между сотрудниками, имеющими доступ к персональным данным работников.

3.16. Передача персональных данных работника третьим лицам осуществляется только с письменного согласия работника, которое оформляется по установленной форме (Приложение 3).

3.17. Сотрудники работодателя, передающие персональные данные работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работников. Акт составляется по установленной форме (Приложение 4).

Передача документов (иных материальных носителей), содержащих персональные данные работников, осуществляется при наличии у лица, уполномоченного на их получение:

  • договора на оказание услуг для ВДПО г. Сальска Ростовской области;
  • наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника, либо соглашения о неразглашении конфиденциальной информации;
  • письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.

Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника Организации несет работник, а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.

3.18. Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.19. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.

3.20. Документы, содержащие персональные данные работника, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

3.21. Для формирования актуальной информации о работе ВДПО г. Сальска Ростовской области на сайте могут использоваться персональные данные сотрудников. Каждый из сотрудников, чьи персональные данные размещены на сайте, должен дать свое письменное согласие. (Приложение 8).

 

Глава 4. Обработка персональных данных клиента

 

4.1. Состав персональных данных клиента (заказчика), обработка которых осуществляется ВДПО г. Сальска Ростовской области:

- фамилия, имя, отчество;

паспортные данные (серия, номер, дата выдачи, орган, выдавший паспорт);

адрес регистрации;

номер контактного телефона;

адрес, по которому проводится проверка технического состояния каналов в помещениях с целью оказания мне услуг по обследованию дымоходов и вентиляционных каналов от газовых приборов.

4.2. Указанные в пункте 4.1. персональные данные обрабатываются в целях исполнения обязательств ВДПО г. Сальска Ростовской области по договорам с клиентами (заказчиками).

4.3. Обработка персональных данных клиентов (заказчиков) производится с их письменного согласия. Содержание таких согласий указано в Приложениях 5, 6, 7.

4.4. Сведения, перечисленные в пункте 4.1., являются конфиденциальными. ВДПО г. Сальска Ростовской области обеспечивает конфиденциальность персональных данных, и обязано не допускать их распространения без согласия клиентов (заказчиков), либо наличия иного законного основания.

4.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.6. Обработка персональных данных клиентов (заказчиков) осуществляется ВДПО г. Сальска Ростовской области с согласия субъектов персональных данных.

Обязанность представить доказательство получения согласия на обработку персональных данных в соответствии с законом возлагается на ВДПО г. Сальска Ростовской области.

4.7. При определении объема и содержания персональных данных клиента (заказчика), подлежащих обработке, ВДПО г. Сальска Ростовской области должно руководствоваться Федеральным законом «О персональных данных», договорными обязательствами, взятыми на себя сторонами по договору между клиентом (заказчиком) и ВДПО г. Сальска Ростовской области. ВДПО г. Сальска Ростовской области получает персональные данные клиента (заказчика) только в объеме, необходимом для достижения целей надлежащего исполнения договорных обязательств с клиентом (заказчиком).

4.8. ВДПО г. Сальска Ростовской области не должно запрашивать информацию о состоянии здоровья клиента (заказчика).

4.9. ВДПО г. Сальска Ростовской области должно обеспечить защиту персональных данных клиента (заказчика) от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

4.10. Субъект персональных данных (клиент (заказчик)) имеет право на получение сведений об операторе, о месте его нахождения, о наличии у ВДПО г. Сальска Ростовской области персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от ВДПО г. Сальска Ростовской области уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.11. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных ВДПО г. Сальска Ростовской области в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

4.12. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю ВДПО г. Сальска Ростовской области при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4.13. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

4.14. ВДПО г. Сальска Ростовской области получает персональные данные клиента (заказчика) непосредственно от субъекта персональных данных – клиента (заказчика), в связи с заключением с клиентом (заказчиком) договора или от законного представителя клиента (заказчика) (субъекта персональных данных).

4.15. Обработка персональных данных, осуществляется ВДПО г. Сальска Ростовской области исключительно для достижения целей, определенных договором между клиентом (заказчиком) и ВДПО г. Сальска Ростовской области, и исполнения действующего законодательства.

4.16. Обработка персональных данных ведется методом смешанной (в том числе автоматизированной) обработки.

4.17. К обработке персональных данных клиента (заказчика) могут иметь доступ только работники ВДПО г. Сальска Ростовской области, допущенные к работе с персональными данными.

4.18. В случае соответствующего обращения субъекта персональных данных, ВДПО г. Сальска Ростовской области обязано произвести необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет ВДПО г. Сальска Ростовской области, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Банк обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4.19. ВДПО г. Сальска Ростовской области уничтожает персональные данные клиента (заказчика) в следующие сроки:
- в течение трёх рабочих дней со дня выявления неправомерных действий с персональными данными;
- хранящиеся на электронных носителях - в течение трех рабочих дней со дня окончания срока хранения, установленного законом, срока исковой давности по договору с клиентом;
- хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству Российской Федерации - в течение трех рабочих дней со дня окончания срока исковой давности по договору с клиентом;
- хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству Российской Федерации, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства Российской Федерации.

4.20. Передача персональных данных клиента (заказчика) государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.

4.21.Персональные данные, могут храниться, как на бумажных носителях, так и в электронном виде. Персональные данные на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах, запирающихся на ключ. Персональные данные, также хранятся в электронном виде: во внутренней сети ВДПО г. Сальска Ростовской области, с доступом для работников, допущенных к обработке персональных данных клиентов (заказчиков).

4.22. Право доступа к персональным данным клиентов (заказчиков) ВДПО г. Сальска Ростовской области имеют:

- председатель совета ВДПО г. Сальска Ростовской области;

-специалисты ВДПО г. Сальска Ростовской области, осуществляющие непосредственную работу с клиентами (заказчиками);

4.23.При передаче персональных данных клиентов (заказчиков) ВДПО г. Сальска Ростовской области не должно сообщать персональные данные, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральным законом.

 

4.24. ВДПО г. Сальска Ростовской области обязано при обработке персональных данных клиентов (заказчиков) принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

 

Глава 5. Защита персональных данных работника

 

5.1. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем.

5.2. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, цело­стности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.

5.3. Общую организацию защиты персональных данных работников осуществляет старший специалист по кадрам.

5.4. Старший специалист по кадрам обеспечивает:

- ознакомление сотрудника под роспись с настоящим Положением.

- общий контроль за соблюдением сотрудниками работодателя мер по защите персональных данных работника.

5.5. Организацию и контроль за защитой персональных данных работников в структурных подразделениях работодателя, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

5.6. Защите подлежит:

- информация о персональных данных работника;

- документы, содержащие персональные данные работника;

- персональные данные, содержащиеся на электронных носителях.

5.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств и в порядке, установленном федеральным законом.

5.8. Внутренняя защита.

5.8.1. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание работником требований нормативно-методических документов по защите информации и сохранению тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- определение и регламентация состава работников, имеющих право доступа к персональным данным работников;

- организация процесса уничтожения информации.

5.8.2. Выдача документов на бумажном носителе, содержащих персональные данные работника, на рабочие места руководителей структурных подразделений запрещена.

5.8.3. Все файлы, содержащие персональные данные работника в электронном виде, должны быть защищены паролем.

5.9. Внешняя защита.

5.9.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладеть персональными данными работника. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания документа и др.

5.9.2. Рабочие процессы, технология составления, оформления, ведения и хранения документов, содержащих персональные данные работника, в отделе кадров и бухгалтерии является закрытой от посторонних лиц информацией.

 

Глава 6. Заключительные положения

 

6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

6.1.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.

6.1.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

6.1.3. В соответствии с Гражданским кодексом РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.

6.1.4. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

6.2. Сотрудники, имеющие доступ к персональным данным работника и совершившие указанный дисциплинарный проступок, несут полную материальную ответственность в случае причинения его действиями ущерба работодателю (п.7 ст. 243 Трудового кодекса РФ).

6.3. Сотрудники, имеющие доступ к персональным данным работника и клиента (заказчика), виновные в незаконном разглашении или использовании персональных данных работников работодателя без согласия работников и клиентов (заказчиков) из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.