Приложение №1

к Приказу № 05 от 31.12.2015 г.

 

 

 

 

 

 

ПОЛОЖЕНИЕ

О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

РАБОТНИКОВ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ

ЦЕНТР ПРАКТИЧЕСКОЙ ПСИХОЛОГИИ «ВОСПРИЯТИЕ» И ИНЫХ ЛИЦ

 

 

г. Москва, 2015

  1. Общие положения.

1.1. Общество с ограниченной ответственностью Центр Практической Психологии «Восприятие» (ООО Центр Практической Психологии «Восприятие»), далее Организация, в рамках научно-исследовательской работы и являясь Работодателем, осуществляет работу с персональными данными работников Организации и иных лиц, далее Субъект персональных данных, руководствуясь соответствующими нормами Конституции РФ, Трудового Кодекса РФ, Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее Закон «О персональных данных»), а также общепризнанными принципами и нормами международного права и международных договоров РФ.

1.2. Положение о работе с персональными данными, далее Положение, определяет порядок обработки (в т.ч. использования и хранения) персональных данных и гарантии конфиденциальности предоставленных ООО Центр Практической Психологии «Восприятие» сведений.

1.3. Обработка персональных данных осуществляется Организацией в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности Субъекта персональных данных, сохранности принадлежащего ему имущества и имущества Организации, оформления трудовых и иных договорных отношений.

  1. Понятие и состав персональных данных.

2.1. Персональные данные – информация, необходимая Организации в связи с осуществлением научно-исследовательской работы, для исполнения конкретного договора с определенным субъектом персональных данных и в связи с трудовыми отношениями, касающаяся конкретного Субъекта персональных данных (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, другая информация), полученная лично от Субъекта персональных данных или путём направления информации через сайт Организации, расположенный на доменном имени www.cpp-p.ru (далее – Сайт), в том числе данные, содержащиеся в следующих документах:

— паспорт или иной документ, удостоверяющий личность;

— трудовая книжка;

— страховое свидетельство государственного пенсионного страхования;

— документы воинского учета;

— документ об образовании, о квалификации или о наличии специальных знаний или специальной подготовки;

— справка о заработной плате;

— трудовой договор;

— дела, содержащие материалы по повышению квалификации и переподготовке работников Организации, их оценке (аттестации), служебным расследованиям;

— приказы по личному составу (прием, перевод, увольнение);

— личная карточка работника Организации, содержащая сведения о семейном положении, наличии родственных связей, адрес фактического проживания и домашний телефон, сведения о предыдущих местах работы, заболеваниях, затрудняющих выполнение работников Организации трудовых функций, иные сведения, с которыми работник Организации считает нужным ознакомить Организацию;

— иные документы, предоставляемые Организации Субъектом персональных данных или полученные Организацией с письменного согласия Субъекта персональных данных от третьих лиц.

2.2. Приложения, используемые Субъектом персональных данных на Сайте, размещаются и поддерживаются третьими лицами (разработчиками), которые действуют независимо от Организации и не выступают от имени или по поручению Организации. Субъекты персональных данных обязаны самостоятельно ознакомиться с правилами оказания услуг и политикой защиты персональных данных таких третьих лиц (разработчиков) до начала использования соответствующих приложений.

  1. Порядок обработки, в т.ч. хранения и использования персональных данных субъекта персональных данных.

3.1. Организация осуществляет следующие действия с персональными данными Субъекта персональных данных:

— сбор;

— систематизацию;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— распространение (передача) персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными определенной категории Субъектов персональных данных (при наличии их согласия) неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

— использование персональных данных — действия (операции) с персональными данными, совершаемые Организацией в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных, либо иным образом затрагивающих права и свободы Субъекта персональных данных;

— блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

— уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному Субъекту персональных данных;

— формирование и использование информационных систем персональных данных, внутренних справочников и баз данных. Информационная система представляет собой совокупность персональных данных Субъекта персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

3.2. Документы и информация, содержащие персональные данные Субъекта персональных данных, хранятся в персональном файле Субъекта персональных данных на бумажных и/или электронных носителях. Персональные файлы на бумажных носителях хранятся в папках в специально отведенных металлических несгораемых шкафах. Сохранность персональных файлов на электронных носителях и передача внутри Организации электронных копий, содержащих персональные данные, обеспечивается в соответствии с разработанными Организацией процедурами, предполагающими использование средств шифрования данных и разграничения доступа.

Все меры конфиденциальности при обработке (в т.ч. хранении) персональных данных Субъектов персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

Режим конфиденциальности персональных данных снимается в случаях обезличивания и в иных случаях в соответствии с законодательством РФ.

3.3. При обработке персональных данных Субъекта персональных данных Организация обязана соблюдать следующие требования:

а) персональные данные следует получать лично у Субъекта персональных данных. В случае возникновения необходимости получения персональных данных Субъекта персональных данных у третьего лица, следует известить об этом Субъекта персональных данных заранее, получить его письменное согласие и сообщить ему данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение;

б) запрещается получать, обрабатывать, в т.ч. использовать и хранить, не установленные Трудовым Кодексом РФ, Законом «О персональных данных» персональные данные о политических, религиозных и иных убеждениях и частной жизни Субъекты персональных данных, его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев непосредственно связанных с вопросами трудовых отношений с письменного согласия Субъекта персональных данных;

в) запрещается запрашивать информацию о состоянии здоровья Субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Субъекта персональных данных трудовой функции;

г) при принятии решений, затрагивающих интересы Субъекта персональных данных, запрещается основываться на персональных данных Субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;

д) защита персональных данных Субъекта персональных данных от неправомерного использования или утраты обеспечивается за счет средств Организации в порядке, установленном Трудовым Кодексом РФ, Законом «О персональных данных» и иными нормативными правовыми актами Российской Федерации;

е) передача персональных данных Субъекта персональных данных третьей стороне не допускается без письменного согласия Субъекта персональных данных, за исключением случаев, установленных федеральными законами;

ж) обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

з) в случае выявления недостоверных персональных данных Субъекта персональных данных или неправомерных действий с ними при обращении или по запросу Субъекта персональных данных (его законного представителя), либо уполномоченного органа по защите прав Субъектов персональных данных Организация обязана осуществить блокирование соответствующих персональных данных с момента такого обращения или получения такого запроса на период проверки;

и) в случае подтверждения факта недостоверности персональных данных Субъекта персональных данных Организация на основании документов, представленных Субъектом персональных данных (его законным представителем) либо уполномоченным органом по защите прав Субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные и снять их блокирование;

О внесенных изменениях и предпринятых мерах Организация обязана уведомить Субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого Субъекта были переданы (ч.3 ст.20 ФЗ «О персональных данных»).

к) в случае выявления неправомерных действий с персональными данными Организация в срок, не превышающий трех рабочих дней с даты такого выявления, обязана устранить допущенные нарушения. Об устранении допущенных нарушений Организация обязана уведомить Субъекта персональных данных (его законного представителя), а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав Субъектов персональных данных, также указанный орган;

л) хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Состав работников Организации, имеющих доступ к персональным данным Субъектов персональных данных:

— генеральный директор;

— иные уполномоченные приказом генерального директора лица в объеме, необходимом для выполнения конкретных функций.

3.5. Организация вправе осуществлять передачу персональных данных третьим лицам с письменного согласия Субъекта персональных данных. Письменное согласие Субъекта персональных данных не требуется в случаях, когда передача персональных данных осуществляется в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных, а также в иных случаях, установленных федеральным законом. В частности, без согласия Субъекта персональных данных может осуществляться передача персональных данных (в объеме и в порядке, установленных действующим законодательством) следующим органам и организациям:

— государственной инспекции труда;

— правоохранительным органам;

— налоговым органам;

— органам федеральной службы государственной статистики;

— военным комиссариатам и(или) органам местного самоуправления, осуществляющим воинский учет;

— отделениям фонда социального страхования;

— пенсионным фондам (за исключением негосударственных пенсионных фондов);

— медицинской страховой компании;

— судам;

— иным органам и организациям в случаях, установленных федеральным законом.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных Субъекта персональных данных, либо отсутствует письменное согласие Субъекта персональных данных на предоставление его персональных данных такому лицу, Организация обязана отказать в предоставлении персональных данных. При этом лицу, обратившемуся с письменным запросом, выдается письменное уведомление об отказе в предоставлении персональных данных Субъекта персональных данных с соответствующей мотивировкой.

 

  1. Права Субъекта персональных данных по обеспечению защиты своих персональных данных.

В целях обеспечения защиты персональных данных Субъект персональных данных имеет право:

— получать полную информацию о своих персональных данных и обработке этих данных;

— осуществлять свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные Субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом;

— требовать от Организации разъяснений в случае разглашения персональных данных Субъекта персональных данных без  его согласия;

— осуществлять доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

— по собственному усмотрению определять своих представителей для защиты своих персональных данных;

— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федеральных законов. При отказе Организации исключить или исправить персональные данные, Субъект персональных данных вправе в письменной форме заявить о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Субъект персональных данных вправе дополнить заявлением, выражающим его собственную точку зрения;

— требовать от Организации уведомления всех лиц, которым ранее Организация сообщила неверные или неполные персональные данные Субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях, дополнениях;

— обжаловать в суде любые неправомерные действия или бездействие Организации при обработке и защите его персональных данных.

  1. Ответственность за разглашение персональных данных.

5.1. Каждый работник Организации, получающий для работы документы, содержащие персональные данные Субъектов персональных данных, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

5.2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством РФ.

5.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ, а также несут административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

  1. Заключительные положения.

6.1. Настоящее Положение вступает в силу с момента его утверждения приказом генерального директора и действует до введения нового Положения о работе с персональными данными.

6.2. Настоящее Положение утверждено в соответствии с Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее Закон «О персональных данных»),

6.3. Ознакомление работников Организации, имеющих доступ к персональным данным, с условиями настоящего Положения производится под подпись в листе ознакомления, являющегося неотъемлемой частью настоящего Положения. Подпись работника Организации, имеющего доступ к персональным данным, в листе ознакомления означает его согласие и обязательство исполнения.

Содержание:

  1. Общие положения. 
  2. Понятие и состав персональных данных. 
  3. Порядок обработки, в т.ч. хранения и использования персональных данных 
  4. Права Субъекта персональных данных по обеспечению защиты своих персональных данных. 
  5. Ответственность за разглашение персональных данных. 
  6. Заключительные положения.