1. Общие положения
1.1. Положение о защите, хранении, обработке и передаче персональных данных работников Федерального государственного бюджетного учреждения науки Ботанического сада-института Дальневосточного отделения Российской академии наук (БСИ ДВО РАН) (далее – Учреждение, Работодатель) разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", Трудовым кодексом Российской Федерации, другими действующими нормативными правовыми актами Российской Федерации (далее – Положение).
1.2. Цель Положения – защита персональных данных работников Учреждения от неправомерных действий. В рамках Положения под работниками подразумеваются соискатели, работники, бывшие работники, а также иные лица, персональные данные которых Работодатель обязан обрабатывать в соответствии с действующим законодательством Российской Федерации. Персональные данные работников всегда являются конфиденциальной, строго охраняемой информацией, в соответствии с действующим законодательством Российской Федерации.
1.3. Положение устанавливает порядок обработки и защиты информации, содержащей сведения, отнесенные к персональным данным работников Учреждения.
1.4. Положение и изменения к нему утверждаются приказом директора Учреждения. Все работники Учреждения должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
2. Понятие и состав персональных данных.
Цель и принципы обработки персональных данных
2.1. Персональными данными является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). К субъектам, персональные данные которых обрабатываются в Учреждении в соответствии с Положением, относятся работники, определяемые в соответствии с п. 1.2 Положения.
2.2. Согласно Положению, персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:
- при содействии работникам в трудоустройстве, получении образования и продвижении по службе;
- ведении кадрового и бухгалтерского учета;
- предоставлении со стороны Учреждения установленных законодательством условий труда, гарантий и компенсаций;
- заполнении и передаче в уполномоченные органы требуемых форм отчетности;
- обеспечении личной безопасности работников и сохранности имущества;
- осуществлении контроля количества и качества выполняемой работы;
- оформлении награждений и поощрений.
2.3. В соответствии с целью, указанной в п. 2.2 Положения, в Учреждении обрабатываются следующие персональные данные:
- Ф.И.О., дата и место рождения, пол, гражданство;
- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- паспортные данные;
- идентификационный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета (СНИЛС);
- номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
- сведения об образовании, квалификации, профессиональной подготовке и сведения о повышении квалификации;
- сведения о владении иностранными языками;
- факты биографии и сведения о предыдущей трудовой деятельности (место работы, период и стаж работы, служба в армии, работа на выборных должностях, на государственной службе и др.);
- сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
- реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
- сведения о доходах, обязательствах по исполнительным документам;
- номер банковского счета;
- сведения о состоянии здоровья (для отдельных категорий работников) обработка происходит строго в рамках требований ТК РФ (ст. 213 - медосмотры) и только тех данных, которые получены в результате медосмотра;
- сведения, содержащиеся в документах, представление которых предусмотрено действующим законодательством Российской Федерации, если обработка этих данных соответствует цели обработки, предусмотренной п. 2.2 Положения;
- иные сведения, которые работник пожелал сообщить о себе, и обработка которых соответствует цели обработки, предусмотренной п. 2.2 Положения.
Сведения, указанные в списке, Работодатель вправе получать и использовать, только если они характеризуют гражданина как сторону трудового договора.
2.4. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Обработка персональных данных работника в Учреждении включает в себя:
- сбор
- запись
- систематизацию
- накопление
- хранение
- уточнение (обновление, изменение)
- извлечение
- использование
- передачу (распространение, предоставление, доступ)
- обезличивание
- блокирование
- удаление
- уничтожение персональных данных
2.5. Обработка персональных данных в Учреждении осуществляется с соблюдением следующих принципов:
- персональные данные должны обрабатываться на законной и справедливой основе;
- обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей, которым должны соответствовать содержание и объем обрабатываемых персональных данных. Обрабатывать можно только персональные данные, которые отвечают целям обработки;
- при обработке должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Учреждение должно принимать необходимые меры по удалению или уточнению неполных, или неточных данных либо обеспечивать принятие таких мер;
- хранить персональные данные нужно в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или трудовым договором с работником. Обрабатываемые персональные данные нужно уничтожить или обезличить по достижении целей обработки или если утрачена необходимость в достижении этих целей, при условии, что иное не предусмотрено федеральным законом.
Не допускается:
- обработка персональных данных, несовместимая с целями сбора персональных данных;
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
2.6. Документы, содержащие персональные данные, являются конфиденциальными. К таким документам относятся:
- анкета, автобиография, которые заполняются работником при приеме на работу;
- копия документа, удостоверяющего личность работника;
- сведения о трудовой деятельности, трудовая книжка (в случае ее ведения) или ее копия;
- копии свидетельств о заключении брака, рождении детей;
- документы воинского учета (при наличии);
- справка о доходах и суммах налога физического лица с предыдущего места работы;
- документы об образовании и (или) квалификации работника;
- документы обязательного пенсионного страхования;
- трудовой договор;
- подлинники и копии приказов по личному составу;
- иные документы, содержащие персональные данные работников.
Режим конфиденциальности персональных данных снимается в случае обезличивания персональных данных.
3. Обязанности Работодателя
3.1. Все персональные данные работника Работодатель обязан получать лично у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2. Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.
3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
3.4. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.5. Работодатель обязан обеспечить защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств в порядке, установленном Трудовым кодексом Российской Федерации или иными федеральными законами.
3.6. Работодатель обязан исполнять иные обязанности, предусмотренные Трудовым кодексом Российской Федерации или иными федеральными законами.
4. Обязанности работника
Работник обязан:
4.1. Передавать Работодателю или его представителю комплекс достоверных документированных персональных данных, необходимых для целей обработки персональных данных в соответствии с Положением.
4.2. Своевременно в срок, не превышающий 5(пять) дней, сообщать Работодателю об изменении своих персональных данных.
5. Права работника
Работник в целях обеспечения защиты своих персональных данных, хранящихся у Работодателя, имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.
5.3. Доступ к медицинской документации, отражающей состояние его здоровья, полученной в результате медицинских осмотров (предварительных, периодических и др.), проводимых за счет Работодателя для отдельных категорий работников, с помощью медицинского работника по своему выбору.
5.4. Предъявлять требования об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе Работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работника имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Предъявлять требования об извещении Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие Работодателя при обработке и защите его персональных данных.
5.7. Определять своих представителей для защиты своих персональных данных.
5.8. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
6. Способы, сроки обработки и хранения персональных данных
6.1. При поступлении на работу формируется личное дело работника. В личном деле хранятся документы, которые содержат персональные данные работника.
6.1.1. Личное дело работника оформляется после издания приказа о приеме на работу.
6.1.2. Все документы личного дела подшиваются в обложку образца, установленного в Учреждении. На ней указываются фамилия, имя, отчество работника, номер личного дела.
6.1.3. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
6.1.4. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
6.2. Обработка персональных данных работников Работодателем возможна только с их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных и предоставляется работником Работодателю лично.
Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Работодателю требования, указанного в п. 5.8 Положения.
6.3. Работодатель обрабатывает персональные данные как без использования, так и с использованием средств автоматизации. При обработке персональных данных работодатель обязан соблюдать принципы, ограничения и требования, установленные законодательством Российской Федерации. В Учреждении для обработки ПД используются следующие информационные системы: 1С:Зарплата и кадры, бухгалтерские программы, файловые хранилища.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, специальных разделах или на полях форм (бланков).
Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Учреждения.
6.4. С целью защиты персональных данных в Учреждении приказом директора назначается лицо, ответственное за организацию обработки персональных данных.
6.5. Обработка персональных данных прекращается в следующих случаях:
- в течение трех рабочих дней с даты выявления неправомерной обработки персональных данных;
- при достижении целей их обработки;
- по истечении срока действия или при отзыве работником согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- в течение десяти рабочих дней с даты получения Работодателем требования работника о прекращении обработки его персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Работодателем в адрес работника мотивированного уведомления с указанием причин продления.
6.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.7. Персональные данные работников хранятся на бумажных носителях и в электронном виде.
6.8. Сроки хранения документов, содержащих персональные данные работников, определяются в соответствии с Перечнем типовых управленческих архивных документов, утвержденным Приказом Росархива, и иными нормативными правовыми актами.
7. Передача персональных данных
7.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом Российской Федерации или иными федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;
- осуществлять передачу персональных данных работника в пределах БСИ ДВО РАН в соответствии с настоящим Положением, с которым работник должен быть ознакомлен под подпись;
- разрешать доступ к персональным данным работников только лицам, указанным в разд. 8 Положения, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции (для отдельных категорий работников);
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
8. Доступ к персональным данным работника
8.1. Внутренний доступ (доступ внутри Учреждения).
Право доступа к персональным данным работника имеют:
- руководитель Учреждения;
- руководитель отдела кадров;
- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения) по согласованию с руководителем Учреждения;
- при переводе из одного структурного подразделения в другое доступ к персональным данным работника может иметь руководитель нового подразделения по согласованию с руководителем Учреждения;
- работники бухгалтерии;
- сам работник, носитель данных.
Все вышеперечисленные работники допускаются к обработке персональных данных только после подписания обязательства об их неразглашении.
8.2. Внешний доступ.
Не требуется согласие работника на передачу персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Фонд пенсионного и социального страхования Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;
- в налоговые органы;
- в военные комиссариаты;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей;
- в кредитную организацию, обслуживающую платежные карты работников;
- в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
8.3. Другие организации.
Сведения о работнике могут быть предоставлены другой организации только с письменного согласия работника.
8.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
9. Защита персональных данных работников
9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников Учреждения приказом директора утверждается перечень работников, имеющих в силу служебных (трудовых) обязанностей доступ к персональным данным в информационных системах.
9.2. При обработке Учреждением персональных данных в информационных системах актуальны угрозы 2 типа - основная опасность исходит от штатных (документированных) функций ПО, действий пользователей, технических средств, а не от "закладок" в коде программ (в соответствии с п. 6 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 N 1119).
9.3. Согласно Постановлению №1119, для ИСПД, обрабатывающей иные категории ПД сотрудников оператора, где количество субъектов менее 100 000 и актуальны угрозы 2 типа, устанавливается 3 уровень защищенности (УЗ-4) Для обеспечения 3 (третьего) уровня защищенности персональных данных при их обработке в информационных системах установлены следующие меры:
9.3.1. В помещения с размещенной информационной системой доступ ограничен следующим образом: установлены замки, решетки, сигнализация.
9.3.2. Носители персональных данных хранятся следующим образом: в запирающихся шкафах, сейфах.
9.3.3. Учреждение применяет следующие средства защиты персональных данных, прошедшие процедуру оценки соответствия установленным требованиям: антивирусное программное обеспечение, программы, осуществляющие шифрование защищаемой информации, и др.
9.4. Контроль за выполнением Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 01.11.2012 N 1119, проводится в следующие сроки: не реже одного раза в 3 (три) года в следующем порядке: комиссией, назначаемой приказом директора Учреждения.
9.5. В целях защиты персональных данных работников при их обработке, осуществляемой без использования средств автоматизации, применяются следующие меры:
9.5.1. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9.5.2. Помещения, в которых хранятся персональные данные работников, оборудуются металлическими дверями, решетками, сигнализацией.
9.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав работников, Учреждение обязано с момента выявления такого инцидента им, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в порядке, предусмотренном ч. 3.1 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". При направлении уведомления следует руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
9.7. Учреждение обязано в соответствии с Порядком, утвержденным Приказом ФСБ России от 13.02.2023 N 77, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
10. Блокирование и уничтожение персональных данных работников
10.1. Учреждение блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
10.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
В случае выявления неправомерной обработки, если обеспечить правомерность обработки персональных данных невозможно; отзыва согласия работника на обработку его персональных данных, если их сохранение более не требуется для целей обработки; получения сведений, подтверждающих, что персональные данные работника являются незаконно полученными или не являются необходимыми для заявленной цели обработки; требования работника уничтожить его персональные данные в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Учреждение уничтожает персональные данные:
- если работник или его представитель предъявил сведения, подтверждающие, что такие персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в срок не более 7 рабочих дней со дня представления таких сведений;
- если выявлена неправомерная обработка персональных данных при условии, что невозможно обеспечить ее правомерность, - в срок не более 3 рабочих дней с даты выявления неправомерной обработки;
- если достигнуты цели обработки персональных данных либо утрачена необходимость их достижения - в срок не более 30 дней с даты достижения указанных целей, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является работник, иным соглашением между Работодателем и работником, либо если Работодатель не вправе осуществлять обработку персональных данных без согласия работника на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами;
- если работник отозвал согласие на обработку его персональных данных при условии, что сохранение таких данных более не требуется для целей их обработки, - в срок не более 5 дней с даты поступления отзыва (если нет иных оснований для обработки) если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является работник, иным соглашением между Работодателем и работником, либо если Работодатель не вправе осуществлять обработку персональных данных без согласия работника на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами;
- если достигнуты максимальные сроки хранения документов, содержащих персональные данные, - в течение 30 дней.
В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Учреждение осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10.4. При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных работников, является акт об уничтожении персональных данных. При обработке персональных данных с использованием средств автоматизации документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Акты об уничтожении персональных данных и выгрузки из журнала подлежат хранению в течение трех лет с момента уничтожения персональных данных.
11. Ответственность за нарушение норм, регулирующих обработку персональных данных работника
11.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
