Положение об организации работы с персональными данными работника и ведении его личного дела

Уважаемый читатель! На страницах сайта можно ознакомиться с некоторыми примерами локальных нормативных документов, определяющих порядок работы по направлениям деятельности подразделения по управлению персоналом на предприятии. Начиная с Инструкции по документированию работы с персоналом, эта практика будет продолжена. В данной статье представлен пример положения об организации работы с персональными данными работника и ведении его личного дела. Полагаю, что рассмотрение указанного нормативного акта окажет действенную помощь молодым коллегам при разработке собственных локальных нормативных документов.

1.Общие положения

Настоящим положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника предприятия, а также ведения его личного дела в соответствии с федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации и другими нормативными правовыми актами Российской Федерации.

В настоящем положении используются следующие основные понятия:

-персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

-оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

-обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

-распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

-использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

-блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

-уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

-обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

-информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

-конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

-трансграничная передача персональных данных – передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

-общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

2.Общие требования при обработке персональных данных работников

2.1.Работодатель в лице руководителя предприятия, обеспечивает защиту персональных данных работников, содержащихся в их личных делах, от неправомерного их использования или утраты.

2.2.Руководитель предприятия определяет должностных лиц, как правило, из числа работников подразделения по управлению персоналом, уполномоченных на обработку персональных данных работников (далее — операторы), обеспечивающих обработку персональных данных в соответствии с требованиями федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», других нормативных правовых актов Российской Федерации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

2.3.При обработке персональных данных работника операторы обязаны соблюдать следующие требования:

2.3.1.обработка персональных данных работника осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия работнику в работе, в обучении и должностном (профессиональном) росте, обеспечения личной безопасности работника и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества, имущества предприятия, учета результатов исполнения им должностных (профессиональных) обязанностей;

2.3.2.персональные данные следует получать лично у работника. В случае возникновения необходимости получения персональных данных работника у третьей стороны, следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;

2.3.3.запрещается получать, обрабатывать и приобщать к личному делу работника не установленные федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

2.3.4.при принятии решений, затрагивающих интересы работника, запрещается основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

2.3.5.защита персональных данных работника от неправомерного их использования или утраты обеспечивается за счет средств предприятия в порядке, установленном федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации и иными нормативными правовыми актами Российской Федерации;

2.3.6.передача персональных данных работника третьей стороне не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами;

2.3.7.обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

2.3.8.в случае выявления недостоверных персональных данных работника или неправомерных действий с ними оператора при обращении или по запросу работника, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему работнику, с момента такого обращения или получения такого запроса на период проверки;

2.3.9.в случае подтверждения факта недостоверности персональных данных работника оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения на основании документов, представленных работником, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, обязан уточнить персональные данные и снять их блокирование;

2.3.10.в случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить работника, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

2.4.Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме работника, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию и другими нормативными правовыми актами Российской Федерации.

2.5.Работники должны быть ознакомлены под расписку с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.Хранение и использование персональных данных работника

Порядок хранения и использования персональных данных работника устанавливается руководителем предприятия с соблюдением требований статей 86 – 89 Трудового кодекса Российской Федерации и пункта 2 статьи 5 федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

3.1.В личное дело работника вносятся его персональные данные и иные сведения, связанные с трудоустройством на работу, ее продолжением и увольнением с работы, а также сведения, необходимые для обеспечения деятельности предприятия.

3.2.Личное дело работника ведется специалистом подразделения по управлению персоналом на предприятии.

3.3.Персональные данные, внесенные в личные дела работников, иные сведения, содержащиеся в личных делах работников, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации).

3.4.К личному делу работника приобщаются:

3.4.1.письменное заявление с просьбой о приеме на работу;

3.4.2.собственноручно заполненные и подписанные гражданином Российской Федерации личный листок по учету кадров установленной формы с приложением фотографии и автобиография;

3.4.3.документы о прохождении конкурса на замещение вакантной должности (если гражданин назначен на должность по результатам конкурса);

3.4.4.копия паспорта и копии свидетельств о государственной регистрации актов гражданского состояния;

3.4.5.копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);

3.4.6.копии решений о награждении государственными наградами, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);

3.4.7.экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор;

3.4.8.копии приказов о переводе работника на иную должность (профессию), о временном замещении им иной должности (профессии);

3.4.9.копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

3.4.10.копия приказа об освобождении от замещаемой должности (профессии), о прекращении трудового договора или его приостановлении;

3.4.11.аттестационный лист работника, прошедшего аттестацию;

3.4.12.копии документов о включении работника в кадровый резерв, а также об исключении его из кадрового резерва;

3.4.13.копии решений о поощрении работника, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;

3.4.14.копия страхового свидетельства обязательного пенсионного страхования;

3.4.15.копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

3.4.16.медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего трудоустройству и его работе.

3.5.В личное дело работника вносятся также письменные объяснения работника, если такие объяснения даны им после ознакомления с документами своего личного дела.

3.6.К личному делу работника приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации. Документы, приобщенные к личному делу работника, брошюруются, страницы нумеруются, к личному делу прилагается опись.

3.7.Личные дела работников, уволенных с работы, хранятся подразделением по управлению персоналом в течение 10 лет со дня увольнения с работы, после чего передаются в архив.

3.8.Порядок хранения и использования персональных данных работника:

-хранение персональных данных должно осуществляться в форме, позволяющей определить работника, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении;

-все документы, содержащие персональные данные работника хранятся в приспособленном для этого помещении подразделения по управлению персоналом в закрывающихся на ключ металлических шкафах или сейфах.

3.9.Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

3.10.Выдача документов, содержащих персональные данные работников, осуществляется в соответствии со статьей 62 Трудового кодекса Российской Федерации с соблюдением следующей процедуры:

3.10.1.заявление работника о выдаче того или иного документа на имя руководителя подразделения по управлению персоналом;

3.10.2.выдача заверенной копии (в количестве экземпляров, необходимых работнику) заявленного документа, либо справки о заявленном документе или сведениях, содержащихся в нем;

3.10.3.внесения соответствующих записей в журнал учета выданной информации.

3.11.Оператор в случае личного обращения работника за информацией, касающейся его персональных данных, или его письменного запроса через законного представителя обязан предоставить ее в течение десяти рабочих дней со дня получения запроса. В случае отказа следует дать мотивированный ответ, руководствуясь положениями федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных» в срок, не превышающий семи рабочих дней со дня получения запроса.

3.12.В случае обращения на предприятие любых третьих лиц за информацией о персональных данных работника, такая информация может быть предоставлена только с согласия в письменной форме работника. Письменное согласие работника на обработку своих персональных данных должно включать в себя:

3.12.1.фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

3.12.2.наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3.12.3.цель обработки персональных данных;

3.12.4.перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

3.12.5.перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

3.12.6.срок, в течение которого действует согласие, а также порядок его отзыва.

3.13.Правом ознакомления с информацией, содержащей персональные данные работника, в любое время обладает только руководитель предприятия. Личное дело работника выдается на руки руководителю для ознакомления только в течение рабочего дня с соответствующей отметкой в журнале.

3.14.Выдача личного дела работника кому бы то ни было еще из работников предприятия, производится только на основании письменного распоряжения руководителя предприятия с соответствующей отметкой в журнале.

3.15.Всем работникам снимать какие-либо копии, делать выписки, изымать документы (либо их копии) из личного дела категорически запрещено.

3.16.Формировать личные дела, снимать копии с документов, делать выписки, составлять аналитические справки, и изымать (заменять) документы, хранящиеся в личных делах работников, могут только специалисты подразделения по управлению персоналом. Передача указанных прав и полномочий специалистов иным лицам без специально оформленного приказа с указанием на это, категорически запрещена.

3.17.Ответственность за хранение (сохранность) документов и выдачу документов несут персонально специалисты подразделения по управлению персоналом, уполномоченные на ведение и хранение личных дел работников.

4.Передача персональных данных работника

При передаче персональных данных работника оператор должен соблюдать следующие требования:

4.1.Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

4.2.Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.

4.3.Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

4.4.Осуществлять передачу персональных данных работника в пределах одного предприятия в соответствии с локальным нормативным актом предприятия, с которым работник должен быть ознакомлен под расписку.

4.5.Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

4.6.Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.7.Передавать персональные данные работника представителям работников в порядке, установленном настоящим положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

4.8.Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

5.Права работников на обеспечение доступа к персональным данным и их защиту

В целях обеспечения защиты персональных данных, хранящихся в личных делах работников в подразделении по управлению персоналом на предприятии, работники имеют право:

5.1.Получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной).

5.2.Осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

5.3.Требовать исключения или исправления неверных или неполных персональных данных. Работник при отказе оператора исключить или исправить его персональные данные имеет право заявить в письменной форме руководителю предприятия о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.4.Требовать от руководителя предприятия уведомления всех лиц, которым ранее были сообщены неверные или неполные их персональные данные, обо всех произведенных в них изменениях или исключениях из них.

5.5.Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если работник, являющийся субъектом персональных данных, считает, что оператор осуществляет обработку его персональных данных с нарушением требований федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы.

5.6.Работники не должны отказываться от своих прав на сохранение и защиту тайны.

6.Общедоступные источники персональных данных

В целях информационного обеспечения работодателем могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные работником.

6.1.Сведения о работнике могут быть в любое время исключены из общедоступных источников персональных данных по требованию самого работника либо по решению суда или иных уполномоченных государственных органов.

6.2.Обязанность представить доказательство получения согласия работника на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на работодателя.

6.3.В случаях, предусмотренных федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», обработка персональных данных осуществляется только с согласия работника в письменной форме. Письменное согласие работника на обработку своих персональных данных должно включать в себя:

6.3.1.фамилию, имя, отчество, адрес работника-субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

6.3.2.наименование (фамилию, имя, отчество) и адрес оператора (работодателя), получающего согласие работника-субъекта персональных данных;

6.3.3.цель обработки персональных данных;

6.3.4.перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6.3.5.перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором (работодателем) способов обработки персональных данных;

6.3.6.срок, в течение которого действует согласие, а также порядок его отзыва.

6.4.Для обработки персональных данных, содержащихся в согласии в письменной форме работника на обработку его персональных данных, дополнительное согласие не требуется.

6.5.Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении работника или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п.6.6. настоящего раздела.

6.6.Решение, порождающее юридические последствия в отношении работника или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия работника в письменной форме или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов работников.

6.7.Работодатель обязан разъяснить работнику принятие решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты работником своих прав и законных интересов.

6.8.Работодатель обязан рассмотреть возражение, указанное в п. 6.7. настоящего раздела, в течение семи рабочих дней со дня его получения и письменно уведомить работника о результатах рассмотрения такого возражения.

6.9.Если работник считает, что работодатель осуществляет обработку его персональных данных с нарушением требований федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, работник вправе обжаловать действия или бездействие работодателя в уполномоченный орган по защите прав субъектов персональных данных (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.

6.10.Работник имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

7.1.Должностные лица предприятия, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.Заключительные положения

Настоящее положение сохраняет свое действие до момента пересмотра существующего на предприятии порядка обработки персональных данных и принятия на этот счет нового локального акта предприятия.

Выводы

Положение об организации работы с персональными данными работника и ведении его личного дела входит в состав нормативной базы подразделения по управлению персоналом на предприятии. Перечень локальных нормативных актов указан в статье Методическое обеспечение подразделения по управлению персоналом.

Уважаемый читатель! Прошу выразить свое мнение в отзыве!

Поделиться статей в социальных сетях:


Также по этой теме: