Политика в отношении обработки персональных данных стоится в соответствии с положением о защите, хранении, обработке и передаче персональных данных работников ФБУ Тульской ЛСЭ Минюста России.

Положение

о защите, хранении, обработке и передаче персональных данных работников ФБУ Тульской ЛСЭ Минюста России

1. Общие положения

1.1. Настоящее Положение определяется в соответствии со следующими нормативными правовыми актами:

– Трудовой кодекс Российской Федерации;

– Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных   данных";

– Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера";

– Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

– Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

– Приказ Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных   данных".

1.2. Персональные данные Работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного Работника.

1.3. К персональным данным Работника относятся:

– фамилия, имя, отчество;

– дата рождения;

– гражданство;

– номер страхового свидетельства;

– ИНН;

– данные об образовании (реквизиты дипломов/иных документов);

– данные о приобретенных специальностях;

– семейное положение;

– данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);

– фактическое место проживания;

– контактная информация;

– данные о военной обязанности;

– данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.).

1.4. Обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников ФБУ Тульская ЛСЭ Минюста России.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.

1.5. Персональные данные Работника являются конфиденциальной информацией и не могут быть использованы Работодателем или любым иным лицом в личных целях.

2. Сбор, обработка и защита персональных данных работника

2.1. Все персональные сведения о Работнике Работодатель может получить только от него самого.

В случаях, когда Работодатель может получить необходимые персональные данные Работника только у третьего лица, Работодатель должен уведомить об этом Работника и получить от него письменное согласие.

2.2. Работодатель обязан сообщить Работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа Работника дать письменное согласие на их получение.

2.3. Работодатель не имеет права получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях, а также о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

2.4. Обработка персональных данных Работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия Работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2.5. Обработка указанных персональных данных работников работодателем возможна только с их письменного согласия.

2.6. Письменное согласие работника на обработку своих персональных данных должно включать:

– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

– цель обработки персональных данных;

– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

– срок, в течение которого действует согласие, а также порядок его отзыва.

2.7. Согласие Работника не требуется, если:

– обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона;

– обработка персональных данных осуществляется в целях исполнения трудового договора;

– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

– персональные данные являются общедоступными;

– персональные данные относятся к состоянию здоровья Работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

– персональные данные обрабатываются по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3. Передача и хранение персональных данных работника

3.1. При передаче персональных данных Работника Работодатель должен соблюдать следующие требования:

– не сообщать персональные данные Работника третьей стороне без письменного согласия Работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

– не сообщать персональные данные Работника в коммерческих целях без его письменного согласия;

– обработка персональных данных Работника в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;

– предупредить лиц, получивших персональные данные Работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

– лица, получившие персональные данные Работника, обязаны соблюдать режим секретности (конфиденциальности);

– осуществлять передачу персональных данных работников в пределах ФБУ Тульская ЛСЭ Минюста России в соответствии с настоящим Положением;

– разрешать доступ к персональным данным Работника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции;

– не запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

– передавать персональные данные Работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.

3.2. Персональные данные Работника хранятся в кабинетах у заместителя начальника ФБУ Тульской ЛСЭ Минюста России и бухгалтерии, в сейфе на бумажных носителях и на электронных носителях с ограниченным доступом.

3.3. Право доступа к персональным данным Работника имеют:

– начальник ФБУ Тульская ЛСЭ Минюста России;

– заместители начальника;

– сотрудники бухгалтерии;

– сотрудники секретариата (информация о фактическом месте проживания и контактные телефоны работников);

– лица, отвечающие за ведение воинского учета и бронирования.

4. Обязанности работодателя по защите персональных данных работника

4.1. Работодатель обязан за свой счет обеспечить защиту персональных данных Работника от неправомерного их использования или утраты в порядке, установленном законодательством РФ.

4.2. Работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральными законами в области защиты персональных данных и иными нормативными правовыми актами:

– назначать сотрудника, ответственного за организацию обработки персональных данных;

– издавать документы, определяющие политику ФБУ Тульская ЛСЭ Минюста России в отношении обработки персональных данных, локальные акты по вопросам обработки и защиты персональных данных;

– применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;

– при сборе персональных данных Работника-гражданина РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Работника с использованием баз данных, находящихся на территории РФ.

– осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных федеральным законам в области защиты персональных данных и иным нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

– оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения законодательства в области защиты персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;

– знакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства в области защиты персональных данных, в том числе с документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучать указанных работников.

4.3. Работодатель обязан ознакомить Работника и его представителей с настоящим Положением и их правами в области защиты персональных данных под роспись.

4.9. Работодатель обязан обеспечить Работнику свободный бесплатный доступ к его персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законом.

4.10. Работодатель обязан по требованию Работника предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.11. Работодатель обязан ежегодно под роспись знакомить Работника с записями в личной карточке Т-2.

5. Права работника на защиту его персональных данных

5.1. Работник в целях обеспечения защиты своих персональных данных, хранящихся у Работодателя, имеет право получать от Работодателя:

– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

– перечень обрабатываемых персональных данных и источник их получения;

– сроки обработки персональных данных, в том числе сроки их хранения;

– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2 Работник вправе получать доступ к своим персональным данным и знакомиться с ними, а также получать копии любой записи, содержащей персональные данные Работника;

5.3. Работник может требовать от Работодателя уточнить, исключить или исправить неполные, неверные, устаревшие, недостоверные, незаконно полученные или не являющиеся необходимыми для Работодателя персональные данные;

5.4 Работник вправе требовать от Работодателя извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.5. Если Работник считает, что Работодатель осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, Работник вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Порядок уничтожения, блокирования персональных данных

6.1. В случае выявления неправомерной обработки персональных данных при обращении Работника Работодатель обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Работнику, с момента такого обращения.

6.2. В случае выявления неточных персональных данных при обращении Работника Работодатель обязан осуществить блокирование персональных данных, относящихся к этому Работнику, с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы Работника или третьих лиц.

6.3. В случае подтверждения факта неточности персональных данных Работодатель на основании сведений, представленных Работником, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Работодателем, Работодатель в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.

6.5. Если обеспечить правомерность обработки персональных данных невозможно, Работодатель в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.

6.6. Об устранении допущенных нарушений или об уничтожении персональных данных Работодатель обязан уведомить Работника.

6.7. В случае достижения цели обработки персональных данных Работодатель обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором.

6.8. В случае отзыва Работником согласия на обработку его персональных данных Работодатель обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором.

6.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.8 настоящего Положения, Работодатель осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

7.1. Работники ФБУ Тульской ЛСЭ Минюста России, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.2. Моральный вред, причиненный Работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Работником убытков.

8. Заключительные положения

8.1. Настоящее Положение вступает в силу с момента его утверждения начальником ФБУ Тульской ЛСЭ Минюста России и действует бессрочно, до замены его новым Положением.

8.2. Все изменения в Положение вносятся приказом начальника ФБУ Тульской ЛСЭ Минюста России.

8.3. Все работники ФБУ Тульской ЛСЭ Минюста России должны быть ознакомлены с настоящим Положением под роспись.