Положение об обработке персональных данных работников в ДОУ

1.1. Настоящее положение об обработке персональных данных работников ДОУ (далее – Положение) разработано в соответствии с Трудовым кодексом Российской Федерации,  Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в редакции от 01.03.2023, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и иными федеральными и региональными нормативными актами в сфере защиты персональных данных.

1.2. Положение определяет порядок работы с персональными данными соискателей на вакантные должности, работников, в том числе бывших, их родственников, а также гарантии конфиденциальности личной информации, которую соискатели и работники предоставляют ДОУ.

1.3. Целью Положения является защита персональных данных соискателей, работников и их родственников от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

1.4. Обработка персональных данных в ДОУ осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

2.1. Обработка данных, предоставляемых при организации трудоустройства кандидатов на работу (соискателей).

2.1.1. Перечень данных:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• фотография;
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• страховой номер индивидуального лицевого счета (СНИЛС);
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения о судимости, привлечении к уголовной ответственности;
• сведения о состоянии здоровья;
• иные персональные данные, предоставляемые соискателями по их желанию.

2.1.2. Обработка данных проводится в течение срока, необходимого для рассмотрения кандидатуры соискателя и заключения трудового договора.

2.1.3. Данные хранятся в течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе для анкеты (резюме) соискателя – 30 дней.

2.2. Обработка данных для работников и их родственников, предоставляемых при выполнении функций и полномочий работодателя в трудовых отношениях, в том числе обязанностей по охране труда.

2.2.1. Перечень данных:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• фотография;
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета (СНИЛС);
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы;
• сведения о судимости, привлечении к уголовной ответственности;
• сведения о состоянии здоровья;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

2.2.2. Обработка данных проводится в течение срока действия трудового договора.

2.2.3. Данные хранятся в течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе в составе личных дел – 50 лет.

2.3. Обработка данных  контрагентов и партнеров, предоставляемых при реализации гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является ДОУ.

2.3.1. Перечень данных:

• фамилия, имя, отчество;
• паспортные данные;
• адрес регистрации и (или) фактического проживания;
• контактные данные;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета (СНИЛС);
• номер расчетного счета;
• номер банковской карты;
• иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров.

2.3.2. Обработка данных проводится в течение срока, необходимого для исполнения заключенного договора.

2.3.3. Данные хранятся в течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные.

2.4. Получение персональных данных производится в устной и письменной форме непосредственно от субъектов персональных данных с дальнейшей автоматизированной обработкой и без средств автоматизации.

2.5. Уничтожение данных производится в соответствии с порядком уничтожения и обезличивания персональных данных, указанных в п.8 настоящего Положения.

3.1. Сбор персональных данных соискателей осуществляет должностное лицо ДОУ, которому поручен подбор кадров, в том числе из общедоступной информации о соискателях в интернете.

3.2. Сбор персональных данных работников осуществляет работник, назначенный заведующим ДОУ, у самих работников. Если персональные данные работника можно получить только у третьих лиц, ДОУ уведомляет об этом работника и берет у него письменное согласие на получение данных.

3.3. Сбор персональных данных родственников работника осуществляется со слов работника и из документов, которые предоставил работник.

3.4. Обработка персональных данных соискателей ведется исключительно в целях определения возможности их трудоустройства.

3.5. Обработка персональных данных работников ведется исключительно в целях обеспечения соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения их личной безопасности и сохранности имущества, контроля количества и качества выполняемой ими работы.

3.6. Обработка персональных данных родственников работников ведется исключительно в целях обеспечения соблюдения законодательства РФ, реализации прав работников, предусмотренных трудовым законодательством и иными актами, содержащими нормы трудового права.

3.7. Сбор и обработка персональных данных, которые относятся к специальной категории (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни) возможны только с согласия субъекта персональных данных либо в случаях, установленных законодательством о персональных данных.

3.8. Сбор и обработка персональных данных родственников работников, которые относятся к специальной категории (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), не допускаются.

3.9. Сбор и обработка персональных данных соискателей, работников и их родственников о членстве в общественных объединениях или профсоюзной деятельности не допускаются, за исключением случаев, предусмотренных федеральными законами.

3.10. Личные дела, трудовые и медицинские книжки работников хранятся в бумажном виде в папках в кабинете заведующего ДОУ в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.

3.11. Документы, содержащие личную информацию о работнике, кроме указанных в пункте 3.10 Положения, хранятся в бумажном виде в отделе кадров и в электронном виде в информационных системах электронного документооборота.

3.12. Документы соискателя, который не был трудоустроен, уничтожаются в течение 30 дней с момента принятия решения об отказе в трудоустройстве.

3.13. Документы, содержащие персональные данные работников и родственников работников, подлежат хранению и уничтожению в сроки и в порядке, предусмотренные номенклатурой дел и архивным законодательством РФ.

3.14. Работники вправе требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований Трудового кодекса или иного федерального закона.

3.15. Персональные данные оценочного характера работник вправе дополнить заявлением, выражающим его собственную точку зрения.

3.16. В случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в течение 5 рабочих дней с момента их изменений.

3.17. По требованию работника ДОУ обязано известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

4.1. Доступ к персональным данным соискателя, работников и их родственников имеет заведующий ДОУ в полном объеме.

4.2. Перечень работников, допущенных к обработке персональных данных соискателей, работников и их родственников, утверждается приказом заведующего ДОУ.

4.3. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные работников лишь в целях, для которых они были предоставлены.

5.1. Работники ДОУ, имеющие доступ к персональным данным соискателей, работников и их родственников, при передаче этих данных должны соблюдать следующие требования:

5.1.1. Не передавать и не распространять персональные данные без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо:

• для предупреждения угрозы жизни и здоровью субъекта персональных данных, если получить такое согласие невозможно;
• для статистических или исследовательских целей (при обезличивании);
• в случаях, напрямую предусмотренных федеральными законами.

5.1.2. Передавать без согласия субъекта персональных данных информацию в государственные и негосударственные функциональные структуры, в том числе в налоговые инспекции, фонд медицинского страхования, социальный фонд, правоохранительные органы, страховые агентства, военкоматы, медицинские организации, контрольно-надзорные органы при наличии оснований, предусмотренных в федеральных законах, или мотивированного запроса от данных структур, если это допускается законодательством РФ.

5.2. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

5.3. Передавать персональные данные представителям работников и соискателей в порядке, установленном Трудовым кодексом, ограничивая эту информацию только теми персональными данными, которые необходимы для выполнения функций представителя, подтвержденных документально.

6.1. В целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Законом № 152-ФЗ за исключением случаев, предусмотренных данным Федеральным законом, имеет право:

6.1.1. получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника;

6.1.2. на получение сведений об операторе, о месте его нахождения, наличии у него персональных данных, относящихся к нему (т. е. субъекту персональных данных), а также сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

6.1.3. требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения, в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

6.1.4. на получение при обращении или запросе информации, касающейся обработки его персональных данных, в том числе сроки их хранения;

6.1.5. получать сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;

6.1.6. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных.

6.2. Оператор обязан:

6.2.1. безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных;

6.2.2. вносить в персональные данные субъекта необходимые изменения; уничтожать или блокировать соответствующие персональные данные при предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

6.2.3. уведомлять субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы, о внесенных изменениях и предпринятых мерах;

6.2.4. в случае выявления неправомерной обработки персональных данных, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора;

6.2.5. в случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение;

6.2.6. уведомлять субъекта персональных данных или его законного представителя об устранении допущенных нарушений или об уничтожении персональных данных;

6.2.7. в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, иным соглашением между оператором и субъектом персональных данных, либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами;

6.2.8. уведомить субъекта персональных данных об уничтожении его персональных данных.

К основным мерам обеспечения безопасности персональных данных в ДОУ относятся:

7.1. Назначение ответственного за организацию обработки персональных данных, в обязанности которого входит в том числе организация обработки персональных данных, обучение и инструктаж работников, внутренний контроль за соблюдением в ДОУ требований законодательства к защите персональных данных.

7.2. Издание политики обработки персональных данных и локальных актов по вопросам обработки персональных данных.

7.3. Ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, политикой обработки персональных данных и локальными актами ДОУ по вопросам обработки персональных данных.

7.4. Определение угроз безопасности персональным данным при их обработке с использованием средств автоматизации и разработка мер по защите таких персональных данных.

7.5. Учет материальных носителей персональных данных.

7.6. Проведение мероприятий при обнаружении несанкционированного доступа к персональным данным, обрабатываемым с использованием средств автоматизации, в том числе восстановление персональных данных, которые были модифицированы или уничтожены вследствие несанкционированного доступа к ним.

7.7. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, оценка соотношения указанного вреда и принимаемых мер.

7.8. Внутренний контроль соответствия обработки персональных данных требованиям законодательства.

7.9. Публикация политики обработки персональных данных и локальных актов по вопросам обработки персональных данных на официальном сайте ДОУ.

7.10. Организация уведомления Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в соответствии с законодательством о персональных данных.

7.11. Обеспечение взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

8.1. Материальные носители персональных данных в соответствии с настоящим Положением, подлежат уничтожению после достижения целей их обработки или в случае утраты необходимости в их достижении, а также в иных случаях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

8.2. Уничтожение материальных носителей персональных данных происходит следующим образом:

• для бумажных носителей – путем сжигания или механическим измельчением;
• для электронных носителей – путем удаления без возможности восстановления с помощью штатных средств информационных и операционных систем;
• для машиночитаемых носителей, которые невозможно уничтожить с помощью штатных средств информационных и операционных систем, – путем нанесения неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных, в том числе путем деформирования, нарушения единой целостности носителя.

8.3. Для фиксации уничтожения носителей, содержащих персональные данные, заведующим ДОУ издается приказ о формировании комиссии из работников Учреждения, которая составляет соответствующий Акт по форме, приведенной в приложении № 3 к Положению.

8.4. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, производится в присутствии всех членов Комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей.

8.5. Акт об уничтожении персональных данных подлежит хранению в течение 3 лет с момента уничтожения персональных данных работников ДОУ.

9.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных соискателей на вакантные должности, работников, в том числе бывших, и их родственников, привлекаются к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности в случаях, установленных законодательством РФ.

9.2. Моральный вред, причиненный соискателям на вакантные должности, работникам, в том числе бывшим, и их родственникам вследствие нарушения их прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, подлежит возмещению в порядке и на условиях, предусмотренных законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда.

9.3. Лица, в обязанность которых входит ведение персональных данных работников, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободу, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом РФ об административных правонарушениях.

Приложения к Положению об обработке персональных данных работников ДОУ

(см. Приложения в платной версии документа)