ПОЛОЖЕНИЕ об обработке персональных данных в БФ «Иоанновская семья»
Настоящее Положение разработано на основании Конституции Российской Федерации, Федерального закона от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 1 ноября 2012 года № «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и призвано обеспечить права работников, добровольцев Благотворительного фонда «Иоанновская семья» (далее – Фонд), а также иных лиц при обработке их персональных данных.
1. Основные понятия
1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. З Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
1.2. Порядок работы с обращениями граждан регламентирован Федеральным законом Российской Федерации от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
1.3. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 Трудового кодекса Российской Федерации).
1.4. Обработка персональных данных работников и иных физических лиц (клиентов, контрагентов, партнеров, добровольцев и пр.) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5. К персональным данным работника, получаемым Фондом и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения:
Фамилия, имя, отчество;
Место, год и дата рождения;
Адрес регистрации;
Адрес фактического места жительства;
Паспортные данные (серия, номер паспорта, кем и когда выдан);
Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
Информация о трудовой деятельности до приема на работу;
Информация о трудовом стаже (место работы, должность, период работы, основания увольнения);
Абонентские телефонные номера (домашний, рабочий, мобильный); - Адрес электронной почты;
Семейное положение и состав семьи (муж/жена, дети);
Информация о знании иностранных языков;
Информация о расчетных счетах;
Оклад;
Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, N2 и дата документа об изменениях в трудовом договоре, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
Сведения об отношении к воинской обязанности (состояние на воинском учете, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
Сведения о постановке на учет в налоговом органе (ИНН);
Сведения об аттестации работника;
Сведения о повышении квалификации;
Сведения о наградах, медалях, поощрениях, почетных званиях;
Информация о приеме на работу, перемещении по должности, увольнении;
Информация об отпусках;
Информация о командировках;
Информация о негосударственном пенсионном обеспечении;
Иные документы, содержащие сведения о работнике, которые необходимы для корректного документированного оформления договорных отношений с работником.
1.6. Перечень персональных данных физических лиц, не являющихся работниками Фонда (клиентов, контрагентов, партнеров и иных физических лиц), определяется Фондом в зависимости от характера правоотношений между Фондом и субъектом персональных данных в соответствии с действующим законодательством.
2. Основные условия осуществления обработки персональных данных
2.1. Фонд определяет объем, содержание обрабатываемых персональных данных работников и иных физических лиц, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
2.2. Обработка персональных данных работников Фонда осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.
Фонд осуществляет обработку персональных данных работников при наличии письменного согласия субъекта персональных данных, за исключением предусмотренных действующим законодательством случаев, когда наличие письменного согласия субъекта персональных данных не требуется.
2.3. Обработка Фондом персональных данных клиентов, контрагентов, партнеров и иных физических лиц осуществляется лишь в тех целях и объеме, в которых этого требует установление и реализация правоотношений между Фондом и субъектом персональных данных, в соответствии с действующим законодательством.
Фонд осуществляет обработку персональных данных клиентов, контрагентов, партнеров и иных физических лиц при наличии письменного согласия субъекта персональных данных, за исключением предусмотренных действующим законодательством случаев, когда наличие письменного согласия субъекта персональных данных не требуется.
2.4. Все персональные данные предоставляются субъектом персональных данных. Если персональные данные субъекта возможно получить только у третьей стороны, то Фонд обязан заранее уведомить об этом субъекта персональных данных и получить его письменное согласие. Фонд обязан сообщить субъекту персональных данных о целях и правовом основании их обработки, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их обработку, разъяснить предусмотренные федеральным законом права субъекта персональных данных.
2.5. Фонд не имеет права получать и обрабатывать персональные данные субъекта (работника или иного физического лица) о его политических и иных убеждениях и частной жизни без его письменного согласия.
2.6. Фонд не имеет права получать и обрабатывать биометрические персональные данные субъектов (характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность), в том числе фото- и видеоизображения, без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законом.
2.7. Фонд не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
2.8. Работники или их представители обязаны быть ознакомлены под роспись с настоящим Положением, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
2.9. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные (Приложение №1).
2.10. Фонд обеспечивает неограниченный доступ к настоящему Положению путем предоставления его копии для ознакомления по устному или письменному запросу физических или юридических лиц. Текст настоящего Положения размещается в открытом доступе на сайте Фонда в информационно-телекоммуникационной сети «Интернет». Фонд вправе разместить текст настоящего Положения для неограниченного доступа на иных сайтах в информационнотелекоммуникационной сети «Интернет» или опубликовать в средствах массовой информации.
Перед получением от субъекта персональных данных (работника, клиента, контрагента, партнера или иного физического лица) письменного согласия на обработку его персональных данных, Фонд обеспечивает его возможность ознакомиться с настоящим Положением. В случае если впоследствии субъект персональных данных дает письменное согласие на обработку его персональных данных, в текст письменного согласия вносится отметка о том, что субъект персональных данных ознакомлен с настоящим Положением.
2.11. Субъекту персональных данных, дающему письменное согласие на обработку его персональных данных, разъясняется порядок его отзыва, а также то, что в случае отзыва субъектом своего согласия на обработку персональных данных, их обработка может быть продолжена Фондом при наличии оснований, предусмотренных федеральным законом.
2.12. Работникам Фонда запрещается ввод персональных данных в информационные системы под диктовку, а также обработка персональных данных в присутствии лиц, не допущенных к их обработке. Мониторы ПЭВМ должны быть расположены таким образом, чтобы исключить возможность просмотра персональных данных, отображаемых на экране, лицами, не допущенными к обработке персональных данных.
З. Хранение персональных данных
3.1. Персональные данные работников и иных физических лиц хранятся в бумажном виде в папках у главного бухгалтера Фонда в специально отведенных шкафах. Вход в кабинет главного бухгалтера и доступ к персональным данным разрешен только работникам Фонда, допущенным к обработке персональных данных.
Персональные данные работников и иных физических лиц могут также храниться в электронном виде на локальных компьютерах, подключенных к локальной компьютерной сети. Локальная компьютерная сеть Фонда имеет возможность подключения к информационно-телекоммуникационной сети «Интернет».
Рабочие места, на которых обрабатываются персональные данные работников, расположены в отдельных помещениях с ограниченным доступом. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается на рабочих местах Фонда, подключение к сети Интернет защищено с помощью программного обеспечения Фонда.
Приказом Исполнительного директора назначается лицо, ответственное за организацию обработки персональных данных.
Лицо, ответственное за обработку персональных данных, выдает ключи аутентификации под роспись сотрудникам, имеющим доступ к персональным данным работников.
Лицо, ответственное за обработку персональных данных, производит замену ключей аутентификации не реже раза в 6 месяцев.
3.2. Доступ работников к персональным данным осуществляется согласно списку, утверждаемому приказом Директора.
3.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя организации или лица, ответственного за обработку персональных данных.
3.4. Для передачи персональных данных используются учтенные носители информации (съемные жесткие диски, флеш-носители и др.).
4. Права и обязанности работников в области обработки персональных данных
4.1. Работники обязаны:
передавать работодателю или его представителю комплект достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом Российской Федерации;
своевременно сообщать работодателю об изменении своих персональных данных.
4.2. Работники имеют право на:
получение полной информации о своих персональных данных и их обработке;
определение своих представителей для защиты своих персональных данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
требование об исключении или исправлении (уточнении) неверных или неполных персональных данных, а также данных, обработанных с нарушением Трудового кодекса Российской Федерации;
требование об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
5. Конфиденциальность, передача, трансграничная передача персональных данных
5. 1. При передаче персональных данных субъектов (работников и иных физических лиц) Фонд обязан соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом РФ или иными федеральными законами;
не сообщать персональные данные субъекта в коммерческих целях бех его письменного согласия;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
5.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.3. К числу массовых потребителей персональных данных вне Фонда относятся государственные и негосударственные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в рамках своей компетенции.
5.4. Организации, в которые работник может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только с его письменного разрешения.
5.5. Деятельность Фонда может включать в себя реализацию различных программ или проектов, финансирование которых осуществляется за счет средств иностранных граждан, организаций, органов власти иностранных государств. В рамках отчетности о реализации вышеуказанных программ или проектов Фонд может осуществлять, в том числе, трансграничную передачу персональных данных работников и иных физических лиц, задействованных в их реализации. Трансграничная передача персональных данных в рамках отчетности по реализуемым программам или проектам осуществляется Фондом только при наличии письменного согласия субъекта персональных данных в том объеме, в котором этого требует обязанность предоставления отчетов. Формы отчетности и способ передачи отчетов, содержащих персональные данные субъектов, определяются организаторами программ или проектов и учитываются при получении Фондом письменного согласия субъекта персональных данных.
6. Ответственность за нарушение норм, регулирующих обработку
и защиту персональных данных работников и клиентов
6.1. Руководитель, разрешающий доступ сотрудника к документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
6.2. Сотрудник Фонда, получающий для работы конфиденциальный документ, указанный в п. 6.1, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.