0

ПОЛОЖЕНИЕ о защите персональных данных работников

Просмотров: 353
УТВЕРЖДАЮ
Директор
ГКПнаПХВ
«Мангистауская областная больница»

___________/Муханов Н.Ж.
« __ »____________2017г.


ПОЛОЖЕНИЕ
о защите персональных данных работников


1. Общие положения

Настоящее Положение устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников ГКПнаПХВ «Мангистауская областная больница».
Под работниками подразумеваются лица, имеющие трудовые отношения с ГКПнаПХВ «Мангистаускаяобластная больница».
1.1. Цель
Настоящее Положение является развитием комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у работодателя, посредством планомерных действий по совершенствованию организации труда.
2. Понятие и состав персональных данных
Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
К персональным данным относятся:
- все биографические сведения работника;
- образование;
- специальность; 
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- состав семьи;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- размер заработной платы;
- содержание трудового договора;
- подлинники и копии приказов по личному составу;
- личные дела, личные карточки (форма Т2) и трудовые книжки работников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- анкета;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии;
- и т.п.
Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом. Собственником информационных ресурсов (персональных данных) – является субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные, и который вступил (стал работником) или изъявил желание вступить в трудовые отношения с работодателем. Субъект персональных данных самостоятельно решает вопрос передачи работодателю своих персональных данных.
Держателем персональных данных является работодатель, которому сотрудник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
Права и обязанности работодателя в трудовых отношениях осуществляются физическим лицом, уполномоченным работодателем. Указанные права и обязанности он может делегировать нижестоящим руководителям – своим заместителям, руководителям структурных подразделений, работа которых требует знания персональных данных работников или связана с обработкой этих данных.
Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.

3. Принципы обработки персональных данных
Обработка персональных данных включает в себя их получение, хранение, комбинирование, передачу, а также актуализацию, блокирование, защиту, уничтожение.
Получение, хранение, комбинирование, передача или любое другое использование персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Все персональные данные работника получаются у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Не допускается получение и обработка персональных данных работника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности. Пакет анкетно - биографических и характеризующих материалов (далее «Личное дело») работника формируется в «Личное дело» после издания приказа о его приеме на работу. «Личное дело» обязательно содержит личную карточку формы Т2, а также может содержать документы, содержащие персональные данные работника, в порядке, отражающем процесс приема на работу: заявление работника о приеме на работу; анкета; характеристика-рекомендация; результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей; копия приказа о приеме на работу; расписка сотрудника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также об его правах и обязанностях в этой области; расписка сотрудника об ознакомлении его с локальными нормативными актами организации.
Все документы хранятся в файлах, файлы содержатся в папках в алфавитном порядке фамилий работников. Анкета является документом «Личного дела», представляющим собой перечень вопросов о биографических данных сотрудника, его образовании, выполняемой работе с начала трудовой деятельности, семейном положении, месте прописки или проживания и т.п. Анкета заполняется работником самостоятельно при оформлении приема на работу. 
При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержатся в его личных документах. В графе "Ближайшие родственники" перечисляются все члены семьи работника с указанием степени родства (отец, мать, муж, жена, сын, дочь, родные брат и сестра); далее перечисляются близкие родственники, проживающие совместно с работником. Указываются фамилия, имя, отчество и дата рождения каждого члена семьи.
При заполнении анкеты и личной карточки Т2 используются следующие документы:
· удостоверение личности; 
· трудовая книжка; 
· военный билет; 
· документы об образовании.
«Личное дело» пополняется на протяжении всей трудовой деятельности работника в данной организации. Изменения, вносимые в карточку Т2, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке).
Работник отдела по управлению человеческимиресурсами, ответственный за документационное обеспечение кадровой деятельности, принимает от принимаемого на работу работника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами. При обработке персональных данных работников работодатель в лице Директора вправе определять способы обработки, документирования, хранения и защиты персональных данных работников ГКПнаПХВ «Мангистауская областная больница» на базе современных информационных технологий.
Работник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым Кодексом Республики Казахстан;
- своевременно сообщать работодателю об изменении своих персональных данных.
Работник имеет право на:
- полную информацию о своих персональных данных и обработке этих данных; 
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. Доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

4. Доступ к персональным данным
Персональные данные добровольно передаются работником непосредственно держателю этих данных и потребителям внутри Мангистауской областной больницы исключительно для обработки и использования в работе.
  1. Внешний доступ.
К числу массовых потребителей персональных данных вне областной больницы можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
2. Внутренний доступ.
Внутри областной больницы к разряду потребителей персональных данных относятся работники функциональных структурных подразделений, которым эти данные необходимы для выполнения должностных обязанностей:
- все работники отдела по управлению человеческими ресурсами;
- все работники бухгалтерии;
- руководители структурных подразделений.
В кадровом секторе хранятся личные карточки работников, работающих в настоящее время. Для этого используются специально оборудованные шкафы или сейфы, которые запираются. Личные карточки располагаются в алфавитном порядке. После увольнения документы по личному составу передаются на хранение.
5. Передача персональных данных
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
1. Передача внешнему потребителю.
- Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
- При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы областной больницы работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника.
- Ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения директора и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений.
- Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
- Сведения передаются в письменной форме и должны иметь гриф конфиденциальности.
- По возможности персональные данные обезличиваются.
2. Передача внутреннему потребителю.
- Работодатель вправе разрешать доступ к персональным данным работников только специально уполномоченным лицам, перечисленным в п.2 гл.4.
- Потребители персональных данных должны подписать обязательство о неразглашении персональных данных сотрудников. (Приложение №1)


6. Защита персональных данных
Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности предприятия.
  1. «Внутренняя защита».
Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами предприятия. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации; 
- знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с работниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел работников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Директору,и в исключительных случаях, по письменному разрешению Директора, руководителю структурного подразделения;
- персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа.
2.«Внешняя защита».
Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности предприятия, посетители, сотрудники других организационных структур.
Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
Для защиты персональных данных работников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим предприятия; 
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.


7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
Руководитель, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
Каждый работник предприятия, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет дисциплинарную, административную, гражданско–правовую или уголовную ответственность граждан и юридических лиц.

Разработал:
Руководитель ОУЧРНуржаубекова К.О.



Приложение №1 к Положению о защите
персональных данных работников


Обязательство о неразглашении персональных данных
Я, ___________________________________________________________________________________,
(ФИО)
___________________________________________________________________________________,
(удостоверение личности №, когда выдан и кем выдан)
работающий в ГКП на ПХВ «Мангистауская областная больница»

на должности _______________________________________________________________________
понимаю, что в соответствии с трудовым договором, должностной инструкцией получаю доступ к персональным данным физических лиц, а именно:
  • анкетные и биографические данные;
  • сведения об образовании;
  • сведения о трудовом и общем стаже;
  • сведения о составе семьи;
  • паспортные данные;
  • сведения о воинском учете;
  • сведения о заработной плате сотрудника;
  • сведения о социальных льготах;
  • специальность;
  • занимаемая должность;
  • наличие судимостей;
  • адрес места жительства;
  • домашний телефон;
  • место работы или учебы членов семьи и родственников;
  • характер взаимоотношений в семье;
  • содержание трудового договора;
  • подлинники и копии приказов по личному составу;
  • личные дела и трудовые книжки сотрудников;
  • основания к приказам по личному составу;
  • дела, содержащие материалы по повышению квалификации и переподготовке, их аттестации;
  • копии отчетов, направляемые в органы статистики, вышестоящий орган.
Я также понимаю, что во время исполнения своих обязанностей мне предстоит заниматься сбором, обработкой, накоплением, хранением и обновлением персональных данных физических лиц.
Я обязуюсь хранить в тайне известные мне конфиденциальные сведения, информировать руководителя организации о фактах нарушения порядка обращения с персональными данными, о ставших мне известным попытках несанкционированного доступа к информации.
Я обязуюсь соблюдать правила пользования документами, порядок их учета и хранения, обеспечивать в процессе работы сохранность информации, содержащейся в них, от посторонних лиц, знакомиться только с теми служебными документами, к которым получаю доступ в силу исполнения своих служебных обязанностей.
Я понимаю, что разглашение такого рода информации может нанести прямой или косвенный ущерб физическим лицам. В связи с этим даю обязательство при обработке персональных данных соблюдать все описанные в Законе Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» и других нормативных актах, требования.
Я предупрежден(а) о том, что в случае разглашения мной персональных данных или их утраты я несу ответственность в соответствии с действующим законодательством Республики Казахстан.


«_____» ______________________ 20____ г.

_____________________________/______________________________________________________ПодписьРасшифровка подписи





Приложение №2 к Положению о защите
персональных данных работников

СОГЛАСИЕ
на обработку персональных данных

Я,_____________________________________________________________________
фамилия, имя, отчество

удостоверение личности№________________от______________кем выдан__________

работающий в должности ____________________________________________________

с целью соблюдения Закона Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите» и исполненияопределенных сторонами условий трудового договора даю согласие ГКП на ПХВ «Мангистауская областная больница» на обработку в документальной и/или электронной форме нижеследующих персональных данных:
- фамилия, имя, отчество; дата рождения, пол, гражданство, знание иностранного языка, образование и повышение квалификации или наличие специальных знаний, профессия (специальность);
- общий трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, размер заработной платы, сведения об образовании, профессиональной переподготовке и повышении квалификации, состояние в браке, состав семьи, место работы или учебы членов семьи и родственников;
- паспортные данные, адрес места жительства, дата регистрации по месту жительства, номер телефона, идентификационный номер, номер пенсионного договора, сведения, включенные в трудовую книжку, сведения о воинском учете, фотография;
- сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работников трудовой функции;
Настоящее согласие на обработку персональных данных действует с момента представления бессрочно и может быть отозвано мной при представлении Работодателю заявления в письменной форме в соответствии с требованиями законодательства Республики Казахстан.скачать dle 12.0

О сайте

Официальный ресурс Мангистауской областной больницы

Облако тэгов