Содержание

1. Назначение
3
2. Общие положения
3
1. Область применения
3
2. Нормативные ссылки
3
3. Термины, определения и сокращения
4
3. Цели и принципы обработки персональных данных в Обществе
6
4. Состав персональных данных работников
6
5. Порядок обработки персональных данных работников
7
1. Получение персональных данных
7
2. Обработка персональных данных
8
3. Передача персональных данных третьей стороне
8
4. Передача персональных данных третьей стороне
8
5. Внутренний доступ к персональным данным работников
10
6. Обеспечение защиты персональных данных работников в информационных системах
12
6. Права работников в целях обеспечения защиты персональных данных
13
7. Управление записями
14
8. Ответственность
14
9. Хранение и архивирование
14
10. Рассылка и актуализация
14
11. Приложение 2
18
12. Форма согласия на обработку персональных данных при приеме на работу
18

Настоящее Положение об обработке и защите персональных данных работников Общества с ограниченной ответственностью «Ростелеком Информационные Технологии» (ООО «РТК ИТ») (далее – Положение) разработано с целью обеспечения защиты персональных данных работников в соответствии с требованиями действующего законодательства Российской Федерации. стоящее Положение устанавливает порядок работы с персональными данными работников ООО «РТК ИТ» и регулирует отношения, связанные с обработкой персональных данных работников ООО «РТК ИТ» Настоящее Положение вводится в действие впервые с момента его утверждения.

1. Область применения

Требования настоящего Положения распространяются на всех работников ООО «РТК ИТ» (далее – Общество). Статус данного документа в Обществе - «Для руководства».

2. Нормативные ссылки

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
• Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Указ Президента Российской Федерации от 06.03.1997 № 188 (ред. от 23.09.2005) «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
• Приказ ФСТЭК РФ от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;

3. Термины, определения и сокращения

Для целей настоящего Положения в нём определены следующие термины и сокращения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Машинный носитель информации – материальный носитель, используемый для записи, хранения и воспроизведения информации, обрабатываемой с помощью средств вычислительной техники.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Оператор– юридическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных. В рамках трудовых отношений оператором персональных данных является работодатель.

Персональные данные– любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, должность, профессия, доходы, другая информация.

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Работник – физическое лицо, вступившее в трудовые отношения с ООО «РТК ИТ».

Работодатель, Общество – Общество с ограниченной ответственностью «Ростелеком Информационные Технологии» (ООО «РТК ИТ»)

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные.

СКУД (система контроля управления доступом) – информационная система персональных данных, предназначенная для предоставления санкционированного входа/выхода авторизованным лицам и запрещения входа/выхода неавторизованным лицам на охраняемую территорию / с охраняемой территории работодателя.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1. Обработка персональных данных работника Общества осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2. Обработка персональных данных работников Общества осуществляется на основе принципов:

• законности целей и способов обработки персональных данных и добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

1. Персональные данные работника – это любая информация, относящаяся к этому работнику, позволяющая идентифицировать его личность; в том числе такие сведения о фактах, событиях и обстоятельствах жизни работника, как его:

• фамилия, имя, отчество (в том числе прежние фамилия, имя, отчество в случае их изменения);
• год, месяц, дата рождения;
• место рождения;
• гражданство;
• адрес регистрации (по месту пребывания, месту жительства)/адрес фактического проживания
• отношение к воинской обязанности и сведения, отраженные в документах воинского учета;
• контактный телефон, адрес электронной почты или сведения о других способах связи;
• сведения о семейном положении, о составе семьи, включая фамилию, имена. Отчества, даты рождения супругов и близких родственников (отца, матери, братьев, сестер и детей, в том числе усыновителей и усыновленных, дедушек, бабушек и внуков); реквизиты свидетельств о государственной регистрации актов гражданского состояния;
• сведения о годности по состоянию здоровья выполнять трудовую функцию;
• сведения об образовании, квалификации или наличии специальных знаний, в том числе о послевузовском профессиональном образовании (включая наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании), сведения о наличии ученой степени, о профессиональной переподготовке (или) повышении квалификации;
• информация о владении иностранными языками, степень владения ими;
• информация об оформленных допусках к государственной тайне;
• сведения о наличии государственных и вневедомственных наград, иных наград и знаков отличия;
• сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);
• номер банковского лицевого счета;
• предыдущие места работы, опыт работы и занимаемые должности; и другая информация о работнике Общества.

1. Получение персональных данных

Все персональные данные работника работодатель получает у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. При этом Общество сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Общество не получает и не обрабатывает персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Общество вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Работодатель не получает и не обрабатывает персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Кандидат на вакантную должность в Обществе при приеме на работу предоставляет работодателю достоверные сведения о себе, заполняя Анкету кандидата ООО «РТК ИТ» (Приложение 1). Работодатель проверяет достоверность полученных сведений, сверяя представленные персональные данные с имеющимися у работника документами, предъявленными им работодателю при приеме на работу в соответствии с Трудовым кодексом Российской Федерации, правилами внутреннего трудового распорядка. При изменении персональных данных работник обязан письменно уведомить об этом работодателя в течение 14 дней c момента такого изменения/ получения соответствующего документа, подтверждающего факт произошедшего изменения.

2. Обработка персональных данных

1. Полученные Обществом персональные данные хранятся на следующих видах носителей:

• Бумажные носители (личные дела, личные карточки работников по унифицированной форме № Т-2, трудовые книжки);
• Электронные носители (в том числе корпоративные автоматизированные информационные системы).

Подразделения Общества, осуществляющие кадровое делопроизводство, ведут личные дела работников, в которых содержатся персональные данные работников и иные сведения, связанные с трудовой деятельностью работников. Наряду с копиями документов и личными заявлениями к личному делу работника приобщается Анкета кандидата Общества, заполненная работником. Личные дела, личные карточки и трудовые книжки работников хранятся в помещениях кадровых служб в несгораемых шкафах (сейфах). Ответственность за хранение указанных документов возлагается на сотрудника кадрового подразделения.

1.2 Доступ к бумажным и электронным носителям персональных данных работников получают только те работники, которым это необходимо для выполнения их должностных обязанностей.

2. Общество обеспечивает необходимые организационные и технические меры для защиты персональных данных работников от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

3. Передача персональных данных третьей стороне

3.1 При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности;
• передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.2 Работник принимает решение и дает согласие на передачу своих персональных данных третьей стороне своей волей и в своем интересе путем подписания согласия на обработку своих персональных данных (Приложение 2), за исключением случаев обязательного предоставления работником своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Согласие на обработку персональных данных может быть отозвано работником.

3.3 Письменное согласие работника на передачу своих персональных данных третьей стороне должно включать в себя:

• фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование (фамилию, имя, отчество) и адрес физического или юридического лица, получающего с согласия работника его персональные данные;
• цель обработки персональных данных работника третьей стороной;
• перечень персональных данных, на передачу которых дается согласие работника;
• перечень действий третьей стороны с персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

3.4 В случае недееспособности работника согласие на обработку его персональных данных дает в письменной форме законный представитель работника.

3.5 В случае смерти работника согласие на обработку его персональных данных дают в письменной форме наследники работника, если такое согласие не было дано работником при его жизни.

3.6 Согласия работника Общества на распространение его персональных данных не требуется в случае обезличивания персональных данных.

3.7 Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам и органам местного самоуправления в пределах их полномочий, установленных федеральными законами. Основанием для передачи персональных данных работника является мотивированный требованиями законодательства или решением суда письменный запрос от должностного лица соответствующего государственного органа или органа местного самоуправления, подписанный руководителем данного органа, заверенный гербовой печатью.

3.8 Информация, относящаяся к персональным данным работника, может быть предоставлена также государственным и негосударственным организациям, осуществляющим страхование и пенсионное обеспечение работников Общества.

3.9 Родственники и члены семьи работника доступ к его персональным данным не имеют.

3.10 В случае если лицо, обратившееся с запросом о предоставлении персональных данных, не уполномочено федеральным законом, настоящим Положением, другими локальными нормативными актами Общества на получение персональных данных работника либо отсутствует письменное согласие работника на предоставление его персональных данных, работодатель обязан отказать в предоставлении персональных данных работника указанному лицу.

4. Внутренний доступ к персональным данным работников

4.1 При передаче персональных данных работника в пределах Общества работодатель должен соблюдать следующие требования:

• осуществлять передачу персональных данных работника в пределах Общества в соответствии с требованиями настоящего Положения;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.2 Доступ к персональным данным работников определяется утверждаемым руководителем Общества или руководителем филиала перечнем (номенклатурой) должностей работников, непосредственно использующих их в служебных целях, которые имеют право обрабатывать только те персональные данные работника, которые необходимы им для выполнения конкретных функций в соответствии с положением о подразделении и/или должностной инструкцией указанных лиц. Все остальные работники имеют право на полную информацию только о своих персональных данных и обработке этих данных.

4.3 Руководители структурных подразделений Общества имеют доступ к персональным данным работников соответствующих структурных подразделений в порядке административной и функциональной подчиненности.

4.4 Остальные работники Общества получают доступ к персональным данным других работников в установленном действующим законодательством и настоящим Положением порядке.

4.5 В целях надлежащей организации производственного процесса и обеспечения оптимального взаимодействия между подразделениями и отдельными работниками все работники Общества имеют доступ к телефонному справочнику Общества и следующей информации о работниках:

• фамилия, имя, отчество;
• занимаемая должность;
• структурное подразделение;
• рабочие телефоны/факсы;
• местонахождение стационарного рабочего места;
• адрес корпоративной электронной почты;
• фотография.

4.6 Работники Общества, получающие персональные данные работника, обязаны:

• выполнять требования настоящего Положения по обеспечению защиты персональных данных работников;
• пресекать действия других лиц, которые могут привести к разглашению персональных данных работников;
• использовать персональные данные работников только в целях выполнения функциональных обязанностей;
• использовать в своей работе лишь те персональные данные работников, которые действительно необходимы для полноценного выполнения функциональных обязанностей;
• при составлении документов, включающих персональные данные работников, ограничиваться минимальными, действительно необходимыми, сведениями и количеством экземпляров;
• документы, содержащие персональные данные работников, во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным сведениям, но не имеющих к ним прямого отношения;
• об утрате или недостаче документов, содержащих персональные данные работников, немедленно сообщать своему непосредственному руководителю;
• отказывать в предоставлении персональных данных третьим лицам без письменного разрешения работодателя или уполномоченного им лица;
• в случае увольнения сдать непосредственному руководителю все служебные документы, содержащие персональные данные работников (бумажные,
• электронные носители), которые находились в его распоряжении в связи с выполнением функциональных обязанностей во время работы в Обществе.

5. Обеспечение защиты персональных данных работников в информационных системах

1. Информационные системы классифицируются в зависимости от объема обрабатываемых персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства комиссией, назначаемой приказом Генерального директора Общества. Классификация информационных систем персональных данных осуществляется в соответствии с приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

2. При обработке персональных данных должны приниматься необходимые организационные и технические меры, в том числе использоваться шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Технические и программные средства должны иметь соответствующие сертификаты ФСТЭК и ФСБ и удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

4. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

5. Для осуществления мероприятий по защите персональных данных при их обработке в информационных системах системы защиты могут включать в себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; обеспечения безопасности межсетевого взаимодействия; анализа защищенности; обнаружения вторжений.

6. Для обеспечения безопасности персональных данных при необходимости осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

7. В целях обеспечения безопасности персональных данных при их обработке в информационных системах организуется контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, а также разбирательство и составление заключений по фактам несоблюдения условий доступа к персональным данным, использования средств защиты информации, которые могут привести к нарушениям конфиденциальности персональных данных.

8.При обнаружении нарушений порядка предоставления персональных данных незамедлительно приостанавливается предоставление персональных данных пользователям информационной системы, получивших их с нарушением установленного порядка, до выявления причин нарушений и устранения этих причин.

9. Ответственность за организацию защиты персональных данных в информационных системах Общества возлагается на подразделения безопасности.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

• полную информацию об их персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника;
• определение своих представителей для защиты своих персональных данных;
• доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
• требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований федеральных законов или настоящего Положения. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
• требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

При реализации данного Положения в подразделениях ООО «РТК ИТ» создаются следующие записи:

• Анкета кандидата ООО «РТК ИТ» (Приложение 1);
• Личная карточка по унифицированной форме № Т-2;
• Согласие на обработку персональных данных (Приложение 2).

Срок хранения указанных записей – 75 лет.

1. Каждый работник, осуществляющий обработку персональных данных, несет персональную ответственность за соблюдение требований настоящего Положения и обеспечение мер по защите персональных данных на своем рабочем месте.

2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Подлинник настоящего Положения во время срока действия хранится в Общем отделе в соответствии с Инструкцией по делопроизводству в ООО «РТК ИТ» После окончания срока действия подлинник может быть уничтожен или оставлен на дальнейшее хранение на срок до 3 лет.

Периодическая проверка настоящего Положения проводится Ведущим специалистом по кадрам с интервалом, не превышающим 12 месяцев.

Изменения, вносимые в настоящий документ, утверждаются Приказом Генерального директора Общества на основании предложений ведущего специалиста по кадрам формированных исходя из предложений подразделений, результатов применения документа в ООО «РТК ИТ», анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов.

Ответственность за размещение, поддержание в актуальном состоянии размещенных документов и доведение информации до всех заинтересованных подразделений о месте размещения актуальных версий утвержденного документа несет сотрудник кадрового подразделения.