=====Положение о работе с персональными данными работника=====

====1. Общие положения====

**1.1.** Настоящее Положение регулирует отношения, связанные с обработкой персональных данных, включающие в себя производимые Работодателем действия по получению, хранению, комбинированию, передаче персональных данных Работника или иному их использованию, с целью защиты персональных данных Работника от несанкционированного доступа, а также неправомерного их использования и утраты.\\

**1.2.** Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом "Об информации, информационных технологиях и о защите информации" N 149-ФЗ от 27.07.2006 года, Федеральным законом "О персональных данных" N 152-ФЗ от 27.07.2006 года и другими определяющими случаи и особенности обработки персональных данных нормативно-правовыми актами.

====2. Понятие и состав персональных данных====

**2.1.** Персональные данные работника - любая информация, необходимая Работодателю в связи с трудовыми отношениями и касающаяся конкретного Работника;\\

**2.2.** При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:
  * паспорт или иной документ, удостоверяющий личность;
  * трудовую книжку;
  * страховое свидетельство государственного пенсионного страхования;
  * документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
  * документ об образовании, о квалификации или наличии специальных знаний;
  * справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям - при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.
В отдельных случаях с учетом специфики работы может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.\\

**2.3.** Запрещается требовать от лица, поступающего на работу, документы, помимо предусмотренных Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.\\

**2.4.** К персональным данным работника относятся:
  * анкетные и биографические данные;
  * паспортные данные;
  * сведения о воинском учете;
  * специальность и занимаемая должность;
  * сведения о заработной плате;
  * сведения о социальных льготах;
  * адрес места жительства, контактный телефон;
  * содержание трудового договора;
  * приказы по личному составу;
  * личное дело и трудовая книжка;

**2.5.** Указанные сведения и документы являются конфиденциальными. Работодатель как оператор персональных данных не в праве распространять персональные данные без согласия работника, если иное не предусмотрено федеральным законом.

====3. Обработка персональных данных работника и гарантии их защиты====

**3.1.** Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;\\

**3.2.** В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
  * обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  * при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами;
  * все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
  * работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
  * работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами;
  * при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
\\

**3.3.** Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым Кодексом, иными федеральными законами и настоящим Положением.\\

**3.4.** Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.\\

**3.5.** Работники не должны отказываться от своих прав на сохранение и защиту тайны.\\

**3.6.** Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.\\

**3.7.** Для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных, Работодатель назначает ответственного за организацию обработки персональных данных.\\

**3.8.** Работодатель при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.\\

**3.9.** Работодатель осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных федеральному законодательству, требованиям к защите персональных данных, политике Работодателя в отношении обработки персональных данных, настоящему Положению.\\

**3.10.** Работодатель обязан ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Работодателя в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучить указанных работников.\\

**3.11.** Работодатель обязан обеспечить безопасность персональных данных следующими способами:
  * определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  * применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  * применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  * оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  * учетом машинных носителей персональных данных;
  * обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  * восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  * установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  * контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

====4. Передача персональных данных работника====

**4.1.** При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
  * не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо, в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
  * не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  * предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
  * осуществлять передачу персональных данных работника в пределах организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  * разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  * не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  * передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

====5. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя====

**5.1.** В целях обеспечения защиты персональных данных, хранящихся у Работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных, в том числе содержащей:
  * подтверждение факта обработки персональных данных Работодателем;
  * правовые основания и цели обработки персональных данных;
  * цели и применяемые Работодателем способы обработки персональных данных;
  * сроки обработки персональных данных, в том числе сроки их хранения;
  * информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  * свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  * определение своих представителей для защиты своих персональных данных;
  * доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
  * требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе Работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  * требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  * обжалование в суд любых неправомерных действий или бездействия Работодателя при обработке и защите его персональных данных.

====6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника====

**6.1.** Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.\\

**6.2.** Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.\\

====7. Заключительные положения====

**7.1.** Настоящее Положение вступает в силу с момента его утверждения.\\

**7.2.** Работодатель обеспечивает неограниченный доступ к настоящему документу.\\

**7.3.** Настоящее Положение доводится до сведения всех работников персонально под роспись.\\