1.1. Положение о защите персональных данных ОАО «КНГФ» (далее - Организация) устанавливает порядок получения, учета, обработки, накопления, хранения и распространения документов, содержащих сведения, отнесенные к персональным данным работников и иных лиц, не являющихся работниками (субъектов персональных данных).
1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 152-Ф3 «О персональных данных», от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
1.3. Цель Положения - защита персональных данных работников Организации от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
1.4. Основные понятия:
- Организация - ОАО «КНГФ»;
- персональные данные работника (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя , отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение , образование, профессия, доходы , другая информация, необходимая работодателю в связи с трудовыми отношениями;
- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Организации;
- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
- распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данным и неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
- информация - сведения (сообщения, данные) независимо от формы их представления.
- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.1. В состав персональных данных работников Организации входят документы, содержащие информацию о паспортных данных , образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.
2.2. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.
Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса РФ лицо, поступающее на работу, предъявляет работодателю:
- паспорт;
- трудовую книжку (за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой) или сведения, содержащиеся в электронной трудовой книжке;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц , подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника).
При оформлении работника в ОАО «КНГФ» работником отдела кадров заполняется унифицированная форма Т -2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи (степень родства ближайшего родственника, Ф.И.О. родственника и дата рождения), сведения о месте жительства и контактных телефонах, паспортные данные, адрес электронной почты);
- сведения о воинском учете;
- данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях:
- сведения об отпусках;
- сведения о социальных гарантиях;
2.3. В отделе кадров Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
- документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; карточка по форме Т -2 и трудовые книжки работников; дела , содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (журналы); подлинники и копии отчетных и справочных руководителям структурных подразделений; копии отчетов, материалов направляемых в государственные органы статистики, налоговые инспекции, центр занятости населения, военные комиссариаты, вышестоящие органы управления и другие учреждения);
- документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства ОАО «КНГФ»);
- документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.
3.1. Персональные данные работника Организация получает непосредственно от работника. Организация вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.
3.2. Организация не вправе требовать от работника представления персональных данных, которые не характеризуют работника как сторону трудовых отношений.
3.3. Чтобы обрабатывать персональные данные сотрудников, Организация получает от каждого сотрудника письменное согласие на обработку его персональных данных. Такое согласие Организация получает, если закон не предоставляет работодателю права обрабатывать персональные данные без согласия сотрудников.
3.4. Письменное согласие работника на обработку своих персональных данных включает в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
3.5. Работник представляет Организации достоверные сведения о себе. При изменении персональных данных работник письменно уведомляет Организацию о таких изменениях в срок, не превышающий 14 дней, и предъявляет оригиналы документов. Организация проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися документами.
3.6. Согласие на обработку персональных данных может быть отозвано работником. В случае отзыва работником согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия работника при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ.
4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций. Персональные данные работников обрабатываются и хранятся в отделе кадров.
4.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
4.3. Бумажные документы с персональными данными (трудовые книжки, бланки специального учета граждан, удостоверения об отсрочке) хранятся в металлических несгораемых сейфах с замками. Личные карточки по форме Т-2 хранятся в бумажном виде в папках и находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа.
4.4. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются отделом системного администрирования Организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.
4.5. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством РФ. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
4.6. Доступ к персональным данным работника имеют генеральный директор Организации, главный бухгалтер, заместитель генерального директора по экономике, заместитель генерального директора по закупкам, начальник отдела кадров, ведущий инженер программист, инженер программист, заместитель главного бухгалтера, бухгалтер, бухгалтер-кассир, специалист по кадрам, начальник отдела управления персоналом, специалист по управлению персоналом, инспектор по учету и бронированию военнообязанных, начальник отдела управления проектами и бизнес анализа , системный аналитик , руководитель проекта, начальник отдела системного администрирования, администратор вычислительной сети, техник отдела информационных технологий, руководители структурных подразделений направлению деятельности (доступ к персональным данным только работников своего подразделения), медицинская сестра, делопроизводитель, техник-диспетчер, секретарь.
4.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров Организации.
4.8. После прекращения действия трудового договора с сотрудником его персональные данные хранятся согласно срокам, установленным архивным законодательством (ст. 22.1 Федерального закона от 22.10.2004 N 125-ФЗ «Об архивном деле в РФ», приказом Росархив от 20.12.2019 N 236) в специально оборудованном помещении. Доступ в помещения, где хранятся документы, содержащие персональные данные сотрудников имеют специалисты отдела кадров и бухгалтерии. По истечении периода хранения или достижения целей обработки персональные данные подлежат уничтожению в течение 30 календарных дней с даты истечения срока хранения. Для этого приказом генерального директора Организации создается комиссия по уничтожению документов по работе с персональными данными. Комиссия проводит работу по уничтожению персональных данных.
5.1. При передаче персональных данных работника Организация должна соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
5.2. Организация не вправе запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.3. В случае если лицо, обратившееся с официальным запретом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным работника, Организация обязана отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается письменный ответ об отказе в выдаче информации.
5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
5.5. Согласие на обработку персональных данных, разрешенных работником для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.6. Организация обязана обеспечить работнику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
5.7. В случае если из предоставленного работником согласия на распространение персональных данных не следует, что работник согласился с распространением персональных данных, такие персональные данные обрабатываются Организацией без права распространения.
5.8. В случае если из предоставленного работником согласия на передачу персональных данных не следует, что работник не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Организация обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
5.9. Передача (распространение, предоставление, доступ) персональных данных, разрешенных работником для распространения, должна быть прекращена в любое время по его требованию.
5.10. Действие согласия работника на распространение персональных данных
прекращается с момента поступления Организации требования, указанного в пункте 4.9 настоящего Положения.
6.1. В Организации применяются следующие меры по защите персональных данных:
- назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите ПД.
- разработка политики в отношении обработки ПД.
- обеспечивается разграничение доступа пользователей к информационной системе персональных данных;
- установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
- используется лицензионные системное ПО надежных производителей;
- сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами, управление антивирусным ПО осуществляется централизовано;
- при осуществлении взаимодействия с сетью Интернет используются средства межсетевого экранирования;
- обнаружение фактов несанкционированного доступа к ПД;
- восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обучение работников, непосредственно осуществляющих обработку ПД, положениям законодательства РФ о «Персональных данных», в том числе требованиям к защите персональных данных, документам, определяющим политику Работодателя в отношении обработки ПД, локальным актам по вопросам обработки персональных данных.
- осуществление внутреннего контроля и аудита.
- определение типа угроз безопасности и уровней защищенности ПД, которые хранятся в информационных системах.
6.2. Угрозы защищенности персональных данных.
- угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
- угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
- угрозы третьего типа. Потенциальной опасности ни от системного, ни от программного обеспечения нет.
6.3. Уровни защищенности персональных данных.
6.3.1. При 4-м уровне защищенности персональных данных Организация:
- обеспечивает режим безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечивает сохранность носителей персональных данных;
- утверждает перечень работников, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации.
6.3.2. При 3-м уровне защищенности персональных данных работодатель дополнительно к мерам, перечисленным в п . 6.3.1. настоящего положения, назначает должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
6.3.3. При 2-м уровне защищенности персональных данных работодатель дополнительно к мерам, перечисленным в п . 6.3.1., 6.3.2. настоящего положения, ограничивает доступ к содержанию электронного журнала сообщений, за исключением для должностных лиц (работников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
6.3.4. При 1- м уровне защищенности персональных данных работодатель дополнительно к мерам, перечисленным в пунктах 6.3.1.-6.3.2. настоящего положения:
- обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работника по доступу к персональным данным, содержащимся в информационной системе;
- создает структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возлагает на одно из структурных подразделений функции по обеспечению такой безопасности.
6.4. В целях защиты персональных данных на бумажных носителях:
- приказом назначается ответственное лицо за обработку ПД;
- ограничивается допуск в помещения, где хранятся документы, которые содержат ПД работников;
- хранятся трудовые книжки работников в сейфе в отделе кадров.
6.5. Работники Организации, допущенные к персональным данным, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных не допускаются.
6.6. Передача информации, содержащей сведения о персональных данных сотрудников Организации, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
7.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.
7.2. Работник вправе требовать полную информацию о своих персональных данных, о их обработке, использовании и хранении.
7.3. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
7.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, установленным архивным законодательством РФ.