Положение о защите персональных данных работников
-
Орган (должностное лицо), утверждающий Положение о защите персональных данных работников:
-
Единоличный исполнительный орган/руководитель коллегиального исполнительного органа/коллегиальный исполнительный орган
-
Совет директоров
-
Единственный акционер
-
Общее собрание акционеров
-
Единственный участник
-
Общее собрание участников
-
Общее собрание членов
-
900
тг.
УТВЕРЖДЕНО
приказом
[Исполнительный орган]
[Организация]
[Дата] года
приказом
[Исполнительный орган]
[Организация]
[Дата] года
ПОЛОЖЕНИЕ
о защите персональных данных работников
о защите персональных данных работников
1. Общие положения
1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты. Настоящее Положение не распространяется на персональные данные работников, которые в соответствии с законодательством относятся к общедоступным.
1.2. Настоящее Положение разработано на основании статей Конституции Республики Казахстан, Трудового кодекса Республики Казахстан, Кодекса Республики Казахстан об административных правонарушениях, Гражданского кодекса Республики Казахстан, Уголовного кодекса Республики Казахстан.
1.3. Персональные данные работников, кроме тех, которые в соответствии с законодательством относятся к общедоступным, являются конфиденциальной информацией. Обязанность Работодателя по защите таких персональных данных работников возникает с момента сбора персональных данных и действует до момента их уничтожения либо обезличивания.
1.4. Срок хранения персональных данных работников определяется работодателем самостоятельно с учётом достижения целей их сбора и обработки, за исключением случаев, когда законодательством установлен более длительный срок хранения соответствующих документов (информации).
1.5. Настоящее Положение утверждается (принимается) приказом [Исполнительный орган] и является обязательным для всех работников и должностных лиц [Организация].
2. Понятие и состав персональных данных
2.1. Персональные данные работника - сведения о фактах, событиях и обстоятельства жизни, относящиеся к определенному или определяемому на их основании работнику, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Работодатель является собственником и оператором базы, содержащей персональные данные работников.
2.2. Примерный состав персональных данных работника и документов, их содержащих:
- анкетные и биографические данные;
- образование;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики.
3. Сбор и обработка персональных данных работников
3.1. Под сбором персональных данных работников понимаются действия, направленные на получение их персональных данных. Персональные данные могут быть получены как от самого работника, так и из иных источников.
3.2. Работодатель получает от каждого работника письменное согласие на сбор и обработку его персональных данных, кроме случаев, когда в соответствии с законодательством для сбора и обработки персональных данных не требуется получение согласия от субъекта персональных данных. Согласие работника может быть получено как при заключении трудового договора, так и в последующем. Согласие работника может быть выражено как в форме отдельного документа, так и содержаться в трудовом договоре.
3.3. Работодатель осуществляет сбор персональных данных работников в следующих целях:
а) для исполнения требований законодательства в отношениях в любыми субъектами или в связи с необходимостью исполнения таких требований;
б) для приобретения и осуществления прав, приобретения и исполнения обязанностей Работодателя в отношениях с работниками (в том числе с лицами, поступающими на работу);
в) использования персональных данных в интересах работников (содействие работникам в трудоустройстве, обучение работников, продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и т.д.).
3.4. Под обработкой персональных данных работников понимаются действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
3.5. Работодатель вправе использовать или распространять (передавать) персональные данные работников только в соответствии с целями их сбора, предусмотренными в настоящем Положении. При намерении использовать или распространить (передать) персональные данные работников в иных целях, Работодатель обязан в каждом конкретном случае получить отдельное письменное согласие соответствующего работника. Положения настоящего пункта не распространяются на случаи, когда в соответствии с законодательством обработка персональных данных осуществляется без согласия субъекта персональных данных.
3.6. Для сбора и обработки персональных данных работника, касающихся его политических и религиозных взглядов, частной жизни, личной и семейной тайны, участия в политических партиях и некоммерческих организациях, Работодатель обязан в каждом конкретном случае получить отдельное письменное согласие соответствующего работника. Положения настоящего пункта не распространяются на случаи, когда в соответствии с законодательством сбор и обработка персональных данных осуществляются без согласия субъекта персональных данных.
3.7. К обработке персональных данных работников внутри организации, как правило, допускаются сотрудники:
- бухгалтерии;
- сотрудники службы управления персоналом;
- сотрудники компьютерных отделов.
При этом соответствующие сотрудники получают доступ только к тем персональным данным работников, которые связаны с выполняемыми такими сотрудниками функциями.
3.8.
3.9.
3.10.
3.11.
3.12.
4.
4.1.
4.1.1.
4.1.2.
4.2.
4.2.1.
4.2.2.
4.2.3.
5.
5.1.
5.2.
5.3.
5.4.
5.5.
5.5.1.
5.5.2.
5.5.3.
5.6.
5.6.1.
5.6.2.
5.6.3.
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.
5.8. По возможности персональные данные обезличиваются.
5.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.
6. Права и обязанности работника
6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
6.2. Сотрудники Работодателя при назначении на соответствующую должность или при предоставлении им права доступа к персональным данным работников должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Иные работники ознакомляются с указанными документами по усмотрению Работодателя.
6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:
- требовать исключения или исправления неверных или неполных персональных данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны.
6.4. Работник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых определяется на основании трудового и иного законодательства;
- незамедлительно сообщать работодателю об изменении своих персональных данных.
7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
7.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Республики Казахстан за нарушение режима защиты, обработки и порядка использования этой информации.
7.3. Каждый сотрудник организации, имеющий право доступа к персональным данным работников, несет ответственность за соблюдение правил сбора, обработки и защиты таких персональных данных, в том числе за обеспечение сохранности носителя персональных данных и сохранение конфиденциальности таких данных.
7.4. Сотрудники организации, виновные в нарушении содержащихся в настоящем Положении или в иных правовых актах (в том числе актах Работодателя) правил сбора, обработки и защиты персональных данных работников, в необеспечении сохранности носителя персональных данных, в несохранении конфиденциальности таких данных несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность. Такие лица также обязаны возместить Работодателю причиненные убытки.
7.5. Любой сотрудник организации, получивший без установленных правовых оснований доступ к персональным данным работников, несет дисциплинарную, административную, гражданско-правовую и уголовную ответственность за разглашение, распространение, передачу другим лицам, изменение, уничтожение или утрату таких персональных данных, а также за факт неправомерного завладения информацией, содержащей персональные данные работников. Такое лицо также обязано возместить Работодателю причиненные убытки.