1. Общие положения
1.1. Положение о работе с персональными данными работников Муниципального бюджетного учреждения культуры «Магнитогорский театр оперы и балета» (далее – Положение) разработано в соответствии с Конституцией, Трудовым кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ, Федеральным законом от 30.12.2020 № 519-ФЗ и иными нормативно-правовыми актами, действующими на территории России.
1.2. Настоящее Положение определяет порядок сбора, учета, обработки, накопления, использования, распространения и хранения персональных данных работников и гарантии конфиденциальности сведений о работнике, предоставленных работодателю.
1.3. Цель настоящего Положения – защита персональных данных работников Муниципального бюджетного учреждения культуры «Магнитогорский театр оперы и балета» от несанкционированного доступа и разглашения. Персональные данные работников являются конфиденциальной, строго охраняемой информацией.
1.4. В целях настоящего Положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
1.5. В состав персональных данных, которые работник сообщает работодателю, входят:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- место рождения;
- возраст;
- гражданство;
- сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
- адрес места проживания;
- паспортные данные;
- сведения о воинском учете;
- страховой номер индивидуального лицевого счета;
- сведения о трудовой деятельности;
- биометрические персональные данные;
- сведения о семейном положении;
- специальные персональные данные: сведения о судимости, сведения о состоянии здоровья;
- иные сведения, которые относятся к трудовой деятельности работника.
1.6. Документами, которые содержат персональные данные работников, являются:
- комплекты документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплекты материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников;
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- копии отчетов, направляемых в государственные контролирующие органы.
1.7. Настоящее Положение и изменения к нему утверждаются директором Муниципального бюджетного учреждения культуры «Магнитогорский театр оперы и балета» и вводятся приказом. Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
1.8. Настоящее Положение вступает в силу с 01.09.2023.
2. Получение и обработка персональных данных работников
2.1. Персональные данные работника работодатель получает непосредственно от работника. Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.
2.2. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
2.3. Работодатель не вправе требовать от работника представления персональных данных, которые не характеризуют работника как сторону трудовых отношений.
2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.
2.5. Чтобы обрабатывать персональные данные сотрудников, работодатель получает от каждого сотрудника согласие на обработку его персональных данных. Такое согласие работодатель получает, если закон не предоставляет работодателю права обрабатывать персональные данные без согласия сотрудников.
2.6. Согласие на обработку персональных данных может быть отозвано работником. В случае отзыва работником согласия на обработку персональных данных работодатель вправе продолжить обработку персональных данных без согласия работника при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.
3. Хранение персональных данных работников
3.1. Муниципальное бюджетное учреждения культуры «Магнитогорский театр оперы и балета» обеспечивает защиту персональных данных работников от неправомерного использования или утраты.
3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел кадров.
3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются начальником отдела кадров Муниципального бюджетного учреждения культуры «Магнитогорский театр оперы и балета» и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.
3.4. Изменение паролей производится начальником отдела кадров Муниципального бюджетного учреждения культуры «Магнитогорский театр оперы и балета».
3.5. Доступ к персональным данным работника имеют начальник отдела кадров Муниципального бюджетного учреждения культуры «Магнитогорский театр оперы и балета» главный бухгалтер, документовед, а также непосредственный руководитель работника. Специалисты отдела кадров – к тем данным, которые необходимы для выполнения конкретных функций.
3.6. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения директора Муниципального бюджетного учреждения культуры «Магнитогорский театр оперы и балета».
4. Использование персональных данных работников
4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций. Работодатель для этой цели запрашивает у работника:
- общие персональные данные: фамилию, имя, отчество, дату, месяц и год рождения, место рождения, адрес, сведения о семейном положении; сведения об образовании, профессии;
- специальные категории персональных данных: сведения о состоянии здоровья, сведения о судимости;
- биометрические персональные данные: фото в бумажном и электронном виде.
4.2. Персональные данные, представленные работником, обрабатываются автоматизированным и без использования средств автоматизации способами. Работодатель не принимает, не снимает и не хранит копии личных документов работников. Документы, которые работник предъявляет работодателю для хранения в оригинале (справки, медицинские заключения и т. д.), хранятся в личном деле работника в течение 50 лет после расторжения с работником трудового договора.
4.3. После истечения срока нормативного хранения документов, которые содержат персональные данные работника, документы подлежат уничтожению. Для этого работодатель создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы уничтожаются в шредере. Персональные данные работников в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.
4.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.
5. Передача и распространение персональных данных работников
5.1. При передаче работодателем персональных данных работник должен дать на это согласие в письменной или электронной форме. Если сотрудник оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.
5.2. Работодатель вправе передать информацию, которая относится к персональным данным работника, без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
5.3. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством.
5.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.
5.5. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
5.6. Работодатель не вправе распространять персональные данные работников третьим лицам без согласия работника на передачу таких данных.
5.7. Согласие на обработку персональных данных, разрешенных работником для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.8. Работодатель обязан обеспечить работнику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
5.9. В случае если из предоставленного работником согласия на распространение персональных данных не следует, что работник согласился с распространением персональных данных, такие персональные данные обрабатываются работодателем без права распространения.
5.10. В случае если из предоставленного работником согласия на передачу персональных данных не следует, что работник не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, работодатель обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
5.11. Согласие работника на распространение персональных данных может быть предоставлено работодателю:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
5.12. В согласии на распространение персональных данных работник вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных работодателем неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ работодателя в установлении работником данных запретов и условий не допускается.
5.13. Работодатель обязан в срок не позднее трех рабочих дней с момента получения согласия работника на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных работника для распространения.
5.14. Передача (распространение, предоставление, доступ) персональных данных, разрешенных работником для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
5.15. Действие согласия работника на распространение персональных данных прекращается с момента поступления работодателю требования, указанного в пункте 5.14 настоящего Положения.
5.16. Работник вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Работодатель или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования работника или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то работодатель или третье лицо обязаны прекратить передачу персональных данных работника в течение трех рабочих дней с момента вступления решения суда в законную силу.
6. Гарантии конфиденциальности персональных данных работников
6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.
6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.