Положение об обработке персональных данных
в Санкт-Петербургском региональном отделении общественной организации «Союз педиатров России»
Настоящее Положение разработано на основании Конституции Российской Федерации, Федерального закона от 19 декабря 2005 года №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и призвано обеспечить права работников Санкт-Петербургского регионального отделения «Союз педиатров России» (далее – Отделение), а также иных лиц при обработке их персональных данных.
1. Основные понятия
1.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»).
1.2. Порядок работы с обращениями граждан регламентирован Федеральным законом Российской Федерации от 2 мая 2006 г. №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
1.3. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 Трудового кодекса Российской Федерации).
1.4. Обработка персональных данных работников и иных физических лиц (клиентов, контрагентов, партнеров, участников мероприятий и пр.) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5. К персональным данным работника, получаемым Отделением и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения:
— фамилия, имя, отчество;
— дата и место рождения;
— гражданство;
— паспортные данные;
— адрес регистрации и адрес фактического места проживания;
— сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
— информация о трудовой деятельности до приема на работу;
— информация о трудовом стаже (место работы, должность, период работы, основания увольнения);
— абонентские телефонные номера (домашний, рабочий, мобильный);
— адрес электронной почты;
— информация о знании иностранных языков;
— информация о расчетных счетах;
— оклад;
— данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и дата документа об изменениях в трудовом договоре, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
— сведения об отношении к воинской обязанности (состояние на воинском учете, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
— сведения о постановке на учет в налоговом органе (ИНН);
— страховой номер индивидуального лицевого счета в Пенсионном фонде России
— сведения об аттестации работника;
— сведения о повышении квалификации;
— информация о приеме на работу, перемещении по должности, увольнении;
— информация об отпусках;
— информация о командировках;
— информация о негосударственном пенсионном обеспечении;
— иные документы, содержащие сведения о работнике, которые необходимы для корректного документированного оформления договорных отношений с работником.
1.6. Перечень персональных данных физических лиц, не являющихся работниками Отделения (членов Отделения, клиентов, контрагентов, партнеров и иных физических лиц), определяется Отделением в зависимости от характера правоотношений между Отделением и субъектом персональных данных в соответствии с действующим законодательством.
2. Основные условия осуществления обработки персональных данных
2.1. Отделение определяет объем, содержание обрабатываемых персональных данных работников и иных физических лиц, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
2.2. Обработка персональных данных работниковОтделенияосуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.
Отделение осуществляет обработку персональных данных работников при наличии письменного согласия субъекта персональных данных, за исключением предусмотренных действующим законодательством случаев, когда наличие письменного согласия субъекта персональных данных не требуется.
2.3. Обработка Отделением персональных данных клиентов, членов организации, контрагентов, партнеров и иных физических лиц осуществляется лишь в тех целях и объеме, в которых этого требует установление и реализация правоотношений между Отделением и субъектом персональных данных, в соответствии с действующим законодательством.
Отделение осуществляет обработку персональных данных клиентов, членов организации, контрагентов, партнеров и иных физических лиц при наличии письменного согласия субъекта персональных данных, за исключением предусмотренных действующим законодательством случаев, когда наличие письменного согласия субъекта персональных данных не требуется.
2.4. Все персональные данные предоставляются субъектом персональных данных. Если персональные данные субъекта возможно получить только у третьей стороны, то Отделение обязано заранее уведомить об этом субъекта персональных данных и получить его письменное согласие. Отделение обязано сообщить субъекту персональных данных о целях и правовом основании их обработки, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их обработку, разъяснить предусмотренные федеральным законом права субъекта персональных данных.
2.5. Отделение не имеет права получать и обрабатывать персональные данные субъекта (работника или иного физического лица) о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия.
2.6. Отделение не имеет права получать и обрабатывать биометрические персональные данные субъектов (характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность), в том числе фото- и видеоизображения, без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законом.
2.7. Отделение не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
2.8. Работники или их представители обязаны быть ознакомлены под роспись с настоящим Положением, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
2.9. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные.
2.10. Отделение обеспечивает неограниченный доступ к настоящему Положению путем предоставления его копии для ознакомления по устному или письменному запросу физических или юридических лиц. При наличии у Отделения официального сайта в информационно-телекоммуникационной сети «Интернет», текст настоящего Положения размещается в открытом доступе на данном сайте. Отделение вправе разместить текст настоящего Положения для неограниченного доступа на иных сайтах в информационно-телекоммуникационной сети «Интернет» или опубликовать в средствах массовой информации.
Перед получением от субъекта персональных данных (работника, клиента, контрагента, партнера или иного физического лица) письменного согласия на обработку его персональных данных, Отделение обеспечивает его возможность ознакомиться с настоящим Положением. В случае если впоследствии субъект персональных данных дает письменное согласие на обработку его персональных данных, в текст письменного согласия вносится отметка о том, что субъект персональных данных ознакомлен с настоящим Положением.
2.11. Субъекту персональных данных, дающему письменное согласие на обработку его персональных данных, разъясняется порядок его отзыва, а также то, что в случае отзыва субъектом своего согласия на обработку персональных данных, их обработка может быть продолжена Отделением при наличии оснований, предусмотренных федеральным законом.
2.12. Работникам Отделения запрещается ввод персональных данных в информационные системы под диктовку, а так же обработка персональных данных в присутствии лиц, не допущенных к их обработке. Мониторы ПЭВМ должны быть расположены таким образом, что бы исключить возможность просмотра персональных данных, отображаемых на экране, лицами, не допущенными к обработке персональных данных.
3. Хранение персональных данных.
3.1. Персональные данные работников и иных физических лиц хранятся в бумажном виде в папках у главного бухгалтера Отделенияв специально отведенных шкафах. Доступ к персональным данным разрешен только работникам Отделения, допущенным к обработке персональных данных.
Персональные данные работников и иных физических лиц могут также храниться в электронном виде на локальных компьютерах, подключенных к локальной компьютерной сети. Локальная компьютерная сеть Отделения имеет возможность подключения к информационно-телекоммуникационной сети «Интернет».
Рабочие места, на которых обрабатываются персональные данные работников, расположены в отдельных помещениях, с ограниченным доступом. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается на рабочих местах Отделения, подключение к сети Интернет защищено с помощью программного обеспечения Отделения.
Приказом Президента назначается лицо, ответственное за организацию обработки персональных данных.
3.2. Доступ работников к персональным данным осуществляется согласно списку, утверждаемому приказом Президента.
3.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя организации или лица, ответственного за обработку персональных данных.
3.4. Для защиты персональных данных сотрудников и иных физических лиц осуществляется порядок учета и контроля посетителей в помещениях Отделения. Учет посетителей ведется в соответствующем журнале. Прием посетителей разрешен только в тех помещениях, где не хранятся персональные данные и не производится их обработка.
3.5. Для передачи персональных данных используются учтенные носители информации (съемные жесткие диски, flash-карты и др.). Учет носителей информации отражен в Журнале поэкземплярного учета носителей информации.
4. Права и обязанности работников в области обработки персональных данных.
4.1. Работники обязаны:
— передавать работодателю или его представителю комплект достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом Российской Федерации;
— своевременно сообщать работодателю об изменении своих персональных данных.
4.2. Работники имеют право на:
— получение полной информации о своих персональных данных и их обработке;
— определение своих представителей для защиты своих персональных данных;
— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
— требование об исключении или исправлении (уточнении) неверных или неполных персональных данных, а также данных, обработанных с нарушением Трудового кодекса Российской Федерации;
— требование об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
5. Конфиденциальность, передача, трансграничная передача персональных данных.
5.1. При передаче персональных данных субъектов (работников и иных физических лиц) Отделение обязано соблюдать следующие требования:
— не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;
— не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
— предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
— передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
5.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.3. К числу массовых потребителей персональных данных вне Отделения относятся государственные и негосударственные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в рамках своей компетенции.
5.4. Организации, в которые работник может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только с его письменного разрешения.
5.5. Деятельность Отделения может включать в себя реализацию различных программ или проектов, финансирование которых осуществляется за счет средств иностранных граждан, организаций, органов власти иностранных государств. В рамках отчетности о реализации вышеуказанных программ или проектов Отделение может осуществлять, в том числе, трансграничную передачу персональных данных работников и иных физических лиц, задействованных в их реализации. Трансграничная передача персональных данных в рамках отчетности по реализуемым программам или проектам осуществляется Отделением только при наличии письменного согласия субъекта персональных данных в том объеме, в котором этого требует обязанность предоставления отчетов. Формы отчетности и способ передачи отчетов, содержащих персональные данные субъектов, определяются организаторами программ или проектов и учитываются при получении Отделением письменного согласия субъекта персональных данных.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников и клиентов
6.1. Руководитель, разрешающий доступ сотрудника к документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
6.2. Каждый сотрудник Отделения, получающий для работы конфиденциальный документ, указанный в п. 6.1, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.