Положение о работе с персональными данными работников ОСШ

 

 

 

У Т В Е Р Ж Д А Ю

Приказ №___ от «___»_________2012 г.

          Директор _____________ Мачула Т.А.

 

Положение о работе с персональными данными работников в

ЧОУ «Обнинская свободная школа».

 

  1. Общие положения.

 

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к   персональным данным работников и учащихся ЧОУ СОШ

«Обнинская свободная школа» (Далее -Школа).

1.2. Цель разработки настоящего Положения – определение порядка обработки персональных данных работников и учащихся Школы; защита персональных данных работников и учащихся Школы от несанкционированного доступа и разглашения или утраты.

1.3. Настоящее Положение разработано на основании

  • Конституции РФ,
  • Трудового кодекса РФ,
  • Кодекса РФ об административных правонарушениях,
  • Гражданского кодекса РФ,
  • Уголовного кодекса РФ,
  • Федерального Закона № 152 "О персональных данных",
  • порядок проведения классификации информационных систем персональных данных (письмо Рособразования от 28.04.2008 № ФАО-6748/52/17-02-09/72),
  • Федерального закона "Об информации, информатизации и защите информации",
  • Устава и Правил внутреннего трудового распорядка Школы.

1.4. Настоящее Положение утверждается и вводится в действие приказом директора школы и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

1.5. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

 

2. Понятие и состав персональных данных.

 

2.1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность и используемая работодателем, в частности, в целях выполнения требований:

- трудового законодательства при приеме на работу и заключении трудового договора, в процессе трудовых отношений, при предоставлении гарантий и компенсаций и др.;
- налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;
- пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
- заполнения первичной статистической документации в соответствии с Постановлением Госкомстата России от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты".

2.2. Под персональными данными учащихся понимается информация, необходимая работникам Школы в связи с образовательной (учебной и воспитательной) деятельностью, трудовыми отношениями и касающаяся конкретного ученика, а также сведения о фактах, событиях и обстоятельствах жизни учащегося, позволяющие идентифицировать его личность.

2.3. Состав персональных данных (данные документы являются конфиденциальными):

-дата рождения;

-место рождения;

-гражданство;

-адрес регистрации;

-адрес места жительства;

-дата регистрации по месту;

-номер телефона (домашнего, личного мобильного);

-семейное положение, состав семьи;

-фамилия, имя отчество членов семьи;

-число, месяц, год рождения, место рождения, гражданство членов семьи;

-паспортные данные (номер, серия паспорта, код региона, дата выдачи, кем выдан);

-информация о трудовой деятельности (периоды, наименование работодателя, должность (профессия));

-номер страхового свидетельства государственного пенсионного страхования;

-идентификационный номер налогоплательщика;

-сведения о воинском учете;

-образование;

-профессия;

-информация о наличии почетных званий, наград;

-информация о спортивных званиях, разрядах;

-информация о дисциплинарных взысканиях, поощрениях;

-информацию о состоянии здоровья;

-информацию о наличии судимости;

-информация о педагогическом и общем трудовом стаже;

-информация о предыдущем месте работы;

-информация о заработной плате сотрудника;

-информация о социальных льготах;

-специальность;

-занимаемая должность;

-содержание трудового договора;

-подлинники и копии приказов по личному составу и основания к приказам;

-личные дела и трудовые книжки сотрудников;

-информация по повышению квалификации и переподготовке сотрудников, их аттестации и прочим исследованиям;

-копии отчетов, направляемые в органы статистики;

-копии документов об образовании;

-рекомендации, характеристики и т.п.

2.4. Документы, указанные в п. 2.3. настоящего Положения, являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

2.5. Персональные данные являются строго конфиденциальными, любые лица, получившие к ним доступ, обязаны хранить эти данные в тайне, за исключением данных, относящихся к следующим категориям:

 

·         обезличенные персональные данные - данные, в отношении которых невозможно определить их принадлежность конкретному физическому лицу;

·         общедоступные персональные данные.

2.6. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении соответствующего срока хранения.
3.Носители персональных данных.

 3.1. Бумажные носители персональных данных:

·         трудовая книжка;

·         журналы учета трудовых книжек;

·          журнал учета командировок;

·          листки нетрудоспособности;

·          материалы по учету рабочего времени;

·         личная карточка Т-2;

·         входящая и исходящая корреспонденция;

·         приказы по личному составу.

 3.2. Электронные носители персональных данных - база данных по учету работников Школы.
3.3. Персональные данные на бумажных носителях хранятся в сейфе.
3.4. При наборе специалистов документы, находящиеся в работе отдела кадров, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся шкафы.
3.5. Документы претендентов, которые не были приняты на работу, сшиваются по месяцам и по профилям специалистов и хранятся в запирающихся шкафах в течение 6 месяцев; далее документы подлежат уничтожению.
3.6. Персональные данные на электронных носителях защищены паролем доступа, доступ к специализированной программе осуществляется только через личный доступ - пароль, право на использование персональных данных имеют только работники, ответственные за обработку персональных данных.
4. Личное дело работника.
4.1. Личное дело работника оформляется после издания приказа о приеме на работу.
4.2. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
4.3. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
4.4. Перечень документов, содержащихся в личном деле работника при приеме на работу:
-согласие на обработку ,хранение персональных данных работника;
- копия паспорта;
- копия свидетельства о присвоении ИНН;
- копия страхового пенсионного свидетельства;
- копия военного билета (у военнообязанных);
- копия документов об образовании (в том числе и дополнительного образования, если работник представляет их при приеме на работу или это требуется при выполнении определенных трудовых функций);
- трудовой договор;
- документы о прохождении обучения, испытательного срока;
- документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
- иные документы персонального учета, относящиеся к персональным данным работника.
4.5. Перечень возможных документов, содержащихся в личном деле работника при дальнейшей работе:
- дополнительные соглашения;
- документы о повышении квалификации (письменные аттестации, дипломы, свидетельства и т.д.);
- документы о состоянии здоровья детей и других близких родственников, когда с наличием таких документов связано предоставление работнику каких либо гарантий и компенсаций;
- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством;
- документы о беременности работницы и возрасте детей для предоставления матери (отцу, другим родственникам) установленных законом условий труда, гарантий и компенсаций;
- иные документы персонального учета, относящиеся к изменениям персональных данных работника.

 

5.Получение, обработка, передача и хранение персональных данных.

 

5.1. Под обработкой персональных данных работника (учащегося) понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

5.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника (учащегося)  обязаны соблюдать следующие общие требования:

5.2.1. Обработка персональных данных работника (учащегося) может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

5.2.2. При определении объема и содержания обрабатываемых персональных данных работника (учащегося) директор школы должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.

5.2.3. Получение персональных данных может осуществляться как путем представления их самим работником (учащимся), так и путем получения их из иных источников.

5.2.4. Персональные данные следует получать у самого работника (учащегося). Если персональные данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Директор школы должен сообщить работнику (учащемуся) о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника (учащегося) дать письменное согласие на их получение.

5.2.5. Директор школы не имеет права получать и обрабатывать персональные данные работника (учащегося) Школы о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, состоянии здоровья. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации и ст. 88 Трудового кодекса Российской Федерации, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

5.2.6. Директор школы не имеет право получать и обрабатывать персональные данные работника (учащегося) о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

5.3. К обработке, передаче и хранению персональных данных работника (учащегося) могут иметь доступ сотрудники: (директор Школы (лицо, исполняющее обязанности), заместитель директора, главный бухгалтер, лицо, отвечающее за работу с кадрами, классный руководитель, психолог)- только в части, касающейся их компетенций.

5.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

5.5. Обработка персональных данных работников (учащегося) возможна без их согласия в следующих случаях:

5.5.1. персональные данные являются общедоступными;

5.5.2. персональные данные относятся к состоянию здоровья работника (учащегося) и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника (учащегося) невозможно;

5.5.3. по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

5.6. Согласие работника (учащегося) не требуется в следующих случаях:

5.6.1. обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

5.6.2. обработка персональных данных осуществляется в целях исполнения трудового договора;

5.6.3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

5.6.4. обработка, предоставление персональных данных в связи с проведением единого государственного экзамена.

5.7. Передача персональных данных работника (учащегося)  возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.

5.7.1. При передаче персональных данных работника (учащегося) директор школы должен соблюдать следующие требования:

- не сообщать персональные данные работника (учащегося) третьей стороне без письменного согласия работника (учащегося), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

- не сообщать персональные данные работника (учащегося) в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника (учащегося), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника (учащегося), обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников (учащихся) в порядке, установленном федеральными законами;

- разрешать доступ к персональным данным работников (учащихся)  только специально уполномоченным лицам, определенным приказом по школе, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

5.7.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

5.7.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

5.7.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных работников (учащихся) распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

5.7.5. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

5.8. Хранение и использование персональных данных работников (учащихся).

5.8.1. Персональные данные работников обрабатываются и хранятся в бухгалтерии школы и у лица, ответственного за работу с кадрами.

5.8.2. Персональные данные работников (учащихся) могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде: в виде файлов в локальной компьютерной сети.

5.8.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию: наименование (фамилия, имя, отчество) и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; права субъекта персональных данных.

 

6. Доступ к персональным данным сотрудника.

 

6.1. Внутренний доступ (доступ внутри Школы). Право доступа к персональным данным работника (учащегося) имеют:

6.1.1. Директор Школы (лицо, исполняющее обязанности);

6.1.2. Заместители директора в пределах, определенных должностными инструкциями;

6.1.3. Главный бухгалтер;

6.1.4. Лицо, отвечающее за работу с кадрами;

6.1.5. Классный руководитель, психолог;

6.1.6. Сам работник (учащийся), носитель данных.

6.2. Внешний доступ. Персональные данные вне Школы могут представляться в государственные и негосударственные функциональные структуры:

6.2.1. налоговые инспекции;

6.2.2. правоохранительные органы;

6.2.3. органы статистики;

6.2.4. страховые агентства;

6.2.5. военкоматы;

6.2.6. органы социального страхования;

6.2.7. пенсионные фонды;

6.2.8. подразделения муниципальных органов управления.

6.2.9. Другие организации. Сведения о работнике (в том числе, уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.

6.2.10. Родственники и члены семей. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

 

7. Защита персональных данных работников.

 

7.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников (учащихся) Школы все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только лицами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

7.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках (учащихся) школы.

7.3. Передача информации, содержащей сведения о персональных данных работников Школы, по телефону, факсу, электронной почте без письменного согласия работника запрещается.

7.4. Документы, содержащие персональные данные работников, хранятся в запирающихся шкафах и сейфах, обеспечивающих защиту от несанкционированного доступа.

7.5. Персональные компьютеры, в которых содержатся персональные данные, защищены паролями доступа.

7.6. Если работник (учащийся) считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, работник (учащийся) вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.7. В случае отзыва работником (учащимся) согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить работника (учащихся).

9. Ответственность за разглашение информации, связанной с персональными данными работника.

9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

8. Заключительные положения.


8.1. Работник обязан представлять работодателю комплекс достоверных документированных персональных данных, перечень которых установлен данным Положением.
8.2. Своевременно, в разумный срок, не превышающий 5 рабочих дней, работник обязан лично либо через своего законного представителя сообщать работнику, ответственному за сбор информации, об изменении своих персональных данных либо представить соответствующие документы.
8.3. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
8.4. Работник, ответственный за сбор информации, при получении персональных данных или получении измененных персональных данных работника должен:

  • проверить достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами;
  •  сделать копии представленных документов;
  •  подшить в личное дело работника;
  • внести соответствующие изменения в кадровые документы;
  •  при необходимости подготовить и подписать соответствующие документы, в которых отразить соответствующие изменения;
  •  донести до сведения работников, ответственных за обработку персональных данных, об изменениях этих данных.

8.5. Если персональные данные работника возможно получить только у третьей стороны, то работник отдела кадров:

  • уведомляет работника не позднее 5 рабочих дней до даты запроса о получении данных у третьей стороны, сообщив работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
  • получает от работника письменное согласие;
  • при получении согласия делает запрос и получает необходимые данные.

8.6. В случае выявления неправомерных действий с персональными данными работника:

·         работник или его законный представитель либо уполномоченный органа по защите прав субъектов персональных данных обращается к Директору Школы с заявлением;

·          директор издает распоряжение о блокировании персональных данных, относящихся к соответствующему работнику, с момента такого обращения или получения такого запроса на период проверки, и назначает ответственного за проведение служебного расследования;

·         если в ходе служебного расследования подтвердился факт использования недостоверных персональных данных, то работник, ответственный за получение персональных данных, обязан уточнить персональные данные, внести соответствующие изменения и поправки в документы и снять их блокирование;

·          если в ходе служебного расследования выявлен факт неправомерных действий с персональными данными, то работник, ответственный за обработку данных и допустивший подобные действия, в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений данный работник в срок, не превышающий трех рабочих дней с даты такого выявления, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных работник, ответственный за сбор персональных данных, обязан уведомить работника или его законного представителя, а в случае если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

8.7. При передаче персональных данных работника специалисты, ответственные за получение и обработку персональных данных, должны соблюдать следующие требования:

  •  не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность.

9. Ответственность за разглашение информации, связанной с персональными данными работника.

9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

  

Срок действия данного Положения -без ограничений.