Печать

ПОЛОЖЕНИЕ
о работе с персональными данными работников АО «Сарапульский радиозавод», а также иных физических лиц (выписка)

 

1.Общие положения


1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, требованиями Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS N 108 (Страсбург, 28 января 1981 г.), Трудового кодекса Российской Федерации (далее ТК РФ), Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации, утвержденного Правительством Российской Федерации от 15 сентября 2008 г. N 687.

1.2. Настоящее Положение регулирует отношения связанные, с обработкой персональных данных, включающие в себя производимые АО «Сарапульский радиозавод» (далее Оператор) действия по получению, хранению, комбинированию, передаче персональных данных работников АО «Сарапульский радиозавод», а также иных физических лиц, с целью защиты персональных данных от несанкционированного доступа, а также неправомерного их использования и утраты.

1.3. Настоящее Положение утверждается генеральным директором Оператора и является обязательным для исполнения всеми работниками Оператора, имеющими доступ к персональным данным работников Оператора, а также иных физических лиц.

1.4. Оператор, в лице руководителей структурных подразделений, обязан знакомить работников (как работающих в АО «СРЗ» на момент утверждения настоящего положения, так и принятых в ОАО «СРЗ» после его утверждения) и их представителей с настоящим Положением под роспись.


2. Основные понятия

В настоящем Положении используются следующие основные понятия:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции),  совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, уничтожение персональных данных;

использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

специальные категории персональных данных – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

структурное подразделение – официально выделенный орган управления частью организации с самостоятельными функциями, задачами и ответственностью за выполнение возложенных на него задач.


3. Принципы и условия обработки персональных данных

3.1. Обработка персональных данных должна осуществляться на основе принципов:

3.1.1. Законности целей и способов обработки персональных данных и добросовестности;

3.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3.1.3. Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

3.1.4. Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

3.1.5. Недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3.2. Персональные данные не могут быть использованы в целях:

3.2.1. Причинения имущественного и морального вреда гражданам;

3.2.2. Затруднения реализации прав и свобод граждан Российской Федерации.

3.3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Обработка персональных данных осуществляется Оператором с согласия субъектов персональных данных, за исключением следующих случаев:

3.4.1. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

3.4.2. Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3.4.3. Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

3.4.4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

3.4.5. Обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

3.4.6. Обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

3.4.7. Осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3.5. Должностные лица, в обязанность которых входит ведение персональных данных работников, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

3.6. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с действующим законодательством.

3.7. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, согласно законодательства Российской Федерации.


4. Перечень обрабатываемых персональных данных и документов, содержащих персональные данные


4.1. В соответствии с действующим законодательством РФ Оператором обрабатываются следующие персональные данные работников Оператора, а также иных физических лиц:

анкетные и биографические данные (фамилия, имя, отчество; дата, месяц, год рождения, семейное положение);

об образовании (наименование учебного заведения, дата окончания, специальность и квалификация, реквизиты документа подтверждающего уровень полученного образования, прохождение курсов повышения квалификации);

о трудовом и общем стаже (места работы, ранее занимаемые должности);

паспортные данные;

данные о воинской обязанности и воинском учете;

о заработной плате работника;

о состоянии здоровья;

о социальных льготах;

о специальности;

о занимаемой должности;

об адресе места жительства (адресе регистрации и фактического места проживания), домашнем телефоне;

о содержании трудового договора;

о страховом номере индивидуального лицевого счета в фонде обязательного пенсионного страхования;

о индивидуальном номере налогоплательщика (ИНН);

о составе декларируемых сведений о наличии материальных ценностей;

о содержании декларации, подаваемой в налоговую инспекцию.

4.2.  Перечень документов, обрабатываемых Оператором, содержащих персональные данные работников  АО «СРЗ» и иных физических лиц определен настоящим Положением (Приложение №1).


5. Обработка персональных данных


5.1. В целях защиты персональных данных Оператор (в лице конкретных должностных лиц, трудовые функции которых непосредственно связаны с обработкой соответствующих персональных данных) при обработке персональных данных обязан соблюдать следующие общие требования:

5.1.1. Персональные данные следует получать лично у работников Оператора, а также иных физических лиц. В случае возникновения необходимости получения персональных данных у третьей стороны, работник, а также иное физическое лицо должны быть уведомлены об этом заранее, с обязательным получением письменного согласия от них и сообщения о целях, предполагаемых источниках и способах получения персональных данных, а также последствиях отказа дать письменное согласие на их получение.

5.1.2. Перечень должностных лиц, допущенных к работе с документами, содержащими персональные данные работников, а также иных физических лиц определен настоящим положением (Приложение №2). На указанные должностные лица оформляется Обязательство о неразглашении персональных данных (Приложение №3), которое хранится в отделе управления персоналом.

5.1.3. Запрещается получать и обрабатывать персональные данные работника, а также иных физических лиц о политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Оператор вправе получать и обрабатывать данные о частной жизни субъекта персональных данных только с его письменного согласия (приложение № 4).

5.1.4. Запрещается получать и обрабатывать персональные данные работника, а также иных физических лиц о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

5.1.5. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, а также в иных случаях предусмотренных действующим законодательством;

5.1.6. При определении объема и содержания, обрабатываемых персональных данных  Оператор должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами, а также настоящим Положением;

5.1.7. При принятии решений, затрагивающих интересы субъекта персональных данных, Оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.1.8. Передача персональных данных третьей стороне не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами, при этом третья сторона предупреждается, о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.1.9. Обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и общедоступных персональных данных. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

5.1.10.  Все меры конфиденциальности при обработке персональных данных работника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

5.1.11.  Должностным лицам, трудовые функции которых непосредственно связаны с обработкой персональных данных запрещается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.

5.1.12. Осуществлять передачу персональных данных в пределах Организации в соответствии с настоящим Положением.

5.1.13. Разрешать доступ к персональным данным работников, а также иных физических лиц только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

5.1.14. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

5.1.15. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.

5.1.16. В случае выявления недостоверных персональных данных или неправомерных действий с ними Оператора при обращении или по запросу субъекта персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента такого обращения или получения такого запроса на период проверки.

5.1.17. В случае подтверждения факта недостоверности персональных данных Оператор на основании документов, представленных субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

5.1.18. Автоматизированная обработка и хранение персональных данных Оператором допускается только после выполнения всех требований предусмотренных действующим законодательством РФ по защите информации и соблюдению режима конфиденциальности.

5.2. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена за счет средств Оператора в порядке, установленном федеральным законом.

5.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом.

5.4. Порядок и цели обработки персональных данных:

5.4.1/ Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем:

- получения оригиналов необходимых документов;

- копирования оригиналов документов;

- внесения сведений в учетные формы документов (на бумажных и электронных носителях);

- формирования персональных данных в ходе работы;

- внесения персональных данных в информационную систему Оператора.

5.4.2 Персональные данные работников, соискателей обрабатываются в целях:

- обеспечения кадровой работы и для соблюдения требований трудового законодательства;

- содействия работникам в трудоустройстве, получении образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы.

5.4.3 Персональные данные физических лиц, являющихся стороной гражданско-правовых договоров, заключаемых организацией, обрабатываются в целях обеспечения соблюдения законов и иных нормативных правовых актов при заключении и исполнении указанных договоров.

5.4.4 При осуществлении пропускного режима персональные данные физических лиц обрабатываются в целях обеспечения на территории Оператора безопасных условий для работы, личной безопасности субъектов, сохранности имущества и иных активов организации.

5.4.5 При организации приема граждан, рассмотрении устных и письменных обращений граждан обработка персональных данных осуществляется в целях своевременного и в полном объеме рассмотрения устных и письменных обращений граждан должностными лицами Оператора в соответствии с их компетенцией. Обращение гражданина является согласием субъекта персональных данных на обработку его персональных данных.

5.4.6 В целях, указанных в пп.5.4.2, 5.4.3, 5.4.4, 5.4.5, обрабатываются категории персональных данных согласно Приложению №1 к настоящему Положению.

5.4.7 Порядок обработки персональных данных в информационной сети Оператора регламентируется «Инструкцией по обеспечению защиты персональных данных, обрабатываемых в информационной системе АО «Сарапульский радиозавод», с использованием средств автоматизации».

5.4.8 Сроки обработки и хранения персональных данных субъектов определяются в соответствии с законодательством РФ сводной номенклатурой дел АО «Сарапульский радиозавод».


6.  Обязанности субъекта персональных данных


6.1. Субъект персональных данных обязан:

6.1.10.  Передавать Оператору или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен ТК РФ, федеральными законами.

6.1.11.  Своевременно сообщать Оператору об изменении своих персональных данных.


7.  Права субъекта персональных данных


7.1.  Субъект персональных данных имеет право:

7.1.10.  Получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

7.1.11.  Осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей его персональные данные, за исключением случаев предусмотренных Федеральным законом № 152-ФЗ.

7.1.12.  Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ и настоящего Положения;

7.1.13.  Заявлять в письменной форме с соответствующим обоснованием о своем несогласии в случае отказа Оператора исключить или исправить персональные данные;

7.1.14.  Дополнять заявлением, выражающим его собственную точку зрения, персональные данные оценочного характера;

7.1.15.  Требовать об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

7.1.16.  Определять своих представителей для защиты своих персональных данных.

7.2.           Субъект персональных данных не должен отказываться от своих прав на сохранение и защиту персональных данных.


8. Доступ к персональным данным работника


8.1 Право доступа к персональным данным работника имеют следующие работники Оператора:

- генеральный директор;

- исполнительный директор;

- первый заместитель генерального директора – технический директор;

- заместитель генерального директора по проектам вооружения и военной техники;

- помощник генерального директора по коммерческим вопросам;

- директор по экономике, стратегическому и инвестиционному развитию;

- финансовый директор;

- директор по корпоративному управлению;

- директор по производству;

- главный бухгалтер;

- главный инженер;

- руководители структурных подразделений и их заместители (доступ к персональным данным только работников своего подразделения), а также руководители структурных подразделений и их заместители в случае перевода в подчиненное им подразделение работника Оператора;

- секретари руководителей (информация о фактическом месте проживания и контактные телефоны работников).

8.2. Организации, в которые работник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного согласия.


9.                 Защита персональных данных


9.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию. Риск угрозы любым информационным ресурсам могут также создавать стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

9.2. Защита персональных данных представляет собой принятие правовых, организационных и технических мер, направленных на:

9.2.1. Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

9.2.2. Соблюдение конфиденциальности информации ограниченного доступа;

9.2.3. Реализацию права на доступ к информации.

9.3. Оператор обязан обеспечить:

9.3.1. Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

9.3.2. Своевременное обнаружение фактов несанкционированного доступа к информации;

9.3.3. Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

9.3.4. Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

9.3.5. Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

9.3.6. Постоянный контроль за обеспечением уровня защищенности информации.

9.4. Для защиты персональных данных работников, а также иных физических лиц Оператор принимает следующие меры:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, при которых исключалось бы бесконтрольное использование защищаемой информации;

- знание работником требований нормативно-методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

- организация порядка уничтожения информации;

- своевременное выявление нарушений требований разрешительной системы доступа работниками подразделения;

- воспитательная и разъяснительная работа с работниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

9.5. Защита персональных данных работника, а также иных физических лиц от неправомерного использования или утраты обеспечивается Оператором за счет его средств, в порядке, установленном ТК РФ, Федеральным законом «О персональных данных»  и иными федеральными законами.

9.6  Ответственность за защиту и безопасность персональных данных при их обработке в структурных подразделениях возлагается на руководителей структурных подразделений Оператора.


10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника


10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут в соответствии с федеральными законами ответственность:

10.1.1. Дисциплинарную (замечание, выговор, увольнение);

10.1.2. Административную (предупреждение или административный штраф);

10.1.3. Гражданско-правовую (возмещение причиненного убытка).

10.2. Работник, предоставивший оператору подложные документы или заведомо ложные сведения о себе, несет дисциплинарную ответственность, вплоть до увольнения.

11. Заключительные положения


Настоящее Положение вступает в силу с момента его утверждения генеральным директором и вводится в действие приказом генерального директора Оператора.

Уважаемый партнер!

Благодарим Вас за выбор услуг нашего предприятия и в целях повышения качества продукции и обслуживания, просим Вас ответить на несколько вопросов

СКАЧАТЬ АНКЕТУ
:   ГлавнаяПерсональные данные