4.Доступ к персональным данным
4.1. Внутренний доступ (доступ внутри Общества).4.1.1. Право доступа к персональным данным сотрудника имеют:
-генеральный директор Общества;
-работники бухгалтерии Общества;
- кадровые работники Общества;
-руководители структурных подразделений Общества (доступ к персональным данным работников данного подразделения);
-при переводе из одного структурного подразделения Общества в другое доступ к персональным данным работника получает руководитель подразделения Общества, в которое переводится работник;
-работники секретариата Общества;
-работник как носитель и держатель персональных данных;
-иные работники Общества- в пределах их компетенции, при выполнении ими своих служебных обязанностей.
4.1.2. Перечень лиц, имеющих доступ к персональным данным работника, определяется приказом Генерального директора Общества.
4.2. Внешний доступ4.2.1. К числу третьих лиц, имеющих установленное действующим законодательством Российской Федерации право на получение от Общества персональных данных работника/работников Общества относятся:
-налоговые инспекции;
-правоохранительные органы;
-органы статистики;
-страховые агентства;
-военные комиссариаты;
-органы социального страхования;
-пенсионные фонды.
4.2.2. Контрольно-надзорные органы исполнительной власти Российской Федерации/субъекта Российской Федерации имеют доступ к персональным данным работника/работников исключительно в пределах компетенции указанных органов.
4.2.3. Организации, в которые работник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), имею право доступа к персональным данным работника только в случае его письменного разрешения.
4.2.4. Иные организации.
Сведения о работнике, состоящем в трудовых правоотношениях с Обществом либо уволенном из Общества, могут быть предоставлены другой организации исключительно на основании письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
Персональные данные работника могут быть предоставлены исключительно с письменного разрешения работника.
В случае развода работника и рассмотрения компетентными государственными органами вопросов в связи с алиментными обязательствами работника, бывшая супруга (супруг) имеют право обратиться в Общество с письменным запросом о размере заработной платы работника без его согласия.
5.Защита персональных данных
5.1.Под угрозой утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Обществом за счет средств Общества, в порядке, установленном федеральным законодательством Российской Федерации.
5.5. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации в Обществе и предназначена для разграничения полномочий между руководителями и специалистами Общества.
5.6. Для обеспечения внутренней защиты персональных данных работников в Обществе принимаются следующие меры безопасности:
-ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
-строгое избирательное и обоснованное распределение документов и информации между работниками;
-рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование защищаемой информации;
-знание работниками Общества требований нормативно– методических документов по защите информации и сохранении тайны;
-наличие необходимых условий в помещениях Общества для работы с конфиденциальными документами и базами данных;
-регламентация порядка уничтожения информации;
-своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
-воспитательная и разъяснительная работа с работниками подразделений Общества по предупреждению утраты сведений при работе с конфиденциальными документами;
-контроль выдачи личных дел работников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Генеральному директору Общества, работникам подразделения управления персоналом и, в исключительных случаях- по письменному разрешению Директора Общества- руководителю структурного подразделения (например, при подготовке материалов для аттестации работника).
5.7. Защита персональных данных работника на электронных носителях.
Все папки, содержащие персональные данные работника, должны быть защищены паролем, который сообщается непосредственному обработчику персональных данных и специалисту отдела информационных технологий Общества.
5.8. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
5.9. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Общества, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в подразделении управления персоналом, секретариате Общества.
5.10. Для обеспечения внешней защиты персональных данных работников в Обществе принимаются следующие меры безопасности:
-строго регламентируется и доводится до сведения уполномоченных работников Общества порядок приема, учета и контроля деятельности посетителей;
-устанавливается и соблюдается пропускной режим;
-устанавливается и соблюдается порядок выдачи удостоверений;
-применяются технические средства охраны, сигнализации;
-устанавливается порядок охраны территории, зданий, помещений, транспортных средств Общества;
-регламентируются и соблюдаются требования о защите информации при интервьюировании и собеседованиях.
5.11. Работники Общества, имеющие доступ к получению, обработке, защите персональных данных, несут личную ответственность за разглашение персональных данных работников.
6. Права и обязанности работника
6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о работнике.
6.2. Работники и их представители должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
6.3. В целях защиты персональных данных, хранящихся в Обществе, работник имеет право:-требовать исключения или исправления неверных или неполных личных персональных данных;
-на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
-дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
-определять своих представителей для защиты своих персональных данных.
6.4. Работник обязан:-передавать Обществу комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.
-своевременно сообщать Обществу об изменении своих персональных данных.
При этом работник уведомляет Общество об изменении фамилии, имени, отчества- с внесением на основании представленных работником документов соответствующих изменений в трудовую книжку. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.
7. Ответственность за разглашение конфиденциальной информации,
связанной с персональными данными
7.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
7.3. Руководитель, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
7.4. Каждый работник Общества, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством Российской Федерации.
7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Общество вправе применять предусмотренные Трудовым Кодексом РФ дисциплинарные взыскания.
7.5.2. Должностные лица Общества, в обязанность которых входит ведение персональных данных работника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законодательством Российской Федерации. Неправомерный отказ в предоставлении собранных в установленном порядке документов либо несвоевременное предоставление таких документов, а равно иной информации в случаях, предусмотренных законодательством Российской Федерации, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях РФ.
7.5.3. В соответствии с Гражданским Кодексом РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки. Указанная обязанность распространяется на работников Общества.
7.5.4. За нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения УК РФ предусмотрено наказание в виде наложения штрафа либо лишения права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии.
7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.