Приложение. Положение об обработке и защите персональных данных государственных гражданских служащих, работников Управления по обеспечению деятельности мировых судей в Курганской области. Приказ Управления по обеспечению деятельности мировых судей в Курганской области от 06.05.2014 N 85 "Об утверждении Положения об обработке и защите персональных данных государственных гражданских служащих, работников Управления по обеспечению деятельности мировых судей в Курганской области"

Приложение
к приказу Управления по обеспечению
деятельности мировых судей в Курганской области
от 6 мая 2014 года N 85
"Об утверждении Положения об обработке
и защите персональных данных государственных гражданских
служащих, работников Управления по обеспечению деятельности
мировых судей в Курганской области"

Положение
об обработке и защите персональных данных государственных гражданских служащих, работников Управления по обеспечению деятельности мировых судей в Курганской области

1. Общие положения

1.1. Положение об обработке персональных данных государственных гражданских служащих, работников Управления по обеспечению деятельности мировых судей в Курганской области (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", постановлением Правительства Российской Федерации от 21.03.2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.2. Положение имеет своей целью закрепление механизмов обеспечения прав государственных гражданских служащих и работников Управления по обеспечению деятельности мировых судей в Курганской области (далее - Управление) на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах их жизни.

1.3. Настоящее Положение определяет порядок сбора, хранения, передачи и любого другого использования персональных данных государственных гражданских служащих и работников Управления в соответствии с законодательством Российской Федерации и гарантии конфиденциальности предоставленных ими представителю нанимателя (работодателю) сведений.

2. Основные понятия

Для целей настоящего Положения используются следующие понятия:

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

2.2. Оператор - государственный орган, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В рамках настоящего Положения Оператором является Управление по обеспечению деятельности мировых судей в Курганской области (далее - Оператор).

2.3. Субъект персональных данных - государственные гражданские служащие, работники, состоящие в трудовых отношениях с Оператором.

2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.6. Предоставление персональных данных - действия направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7. Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.8. Блокирование персональных данных - временное прекращение обработки персональных данных.

2.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.10. К персональным данным субъекта относятся:

2.10.1. Сведения, содержащиеся в основном документе, удостоверяющем личность;

2.10.2. Информация, содержащаяся в трудовой книжке;

2.10.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;

2.10.4. Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу;

2.10.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки;

2.10.6. Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;

2.10.7. Сведения о семейном положении;

2.10.8. Медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

2.10.9. Сведения о денежном содержании, заработной плате;

2.10.10. Сведения о социальных льготах;

2.10.11. Сведения о наличии судимостей;

2.10.12. Место работы или учебы членов семьи;

2.10.13. Содержание служебного контракта, трудового договора;

2.10.14. Подлинники и копии приказов по личному составу;

2.10.15. Основания к приказам по личному составу;

2.10.16. Документы, содержащие информацию по повышению квалификации и переподготовке, аттестации, служебной проверке;

2.10.17. Сведения о награждении государственными наградами.

3. Обработка персональных данных

3.1. Общие требования при обработке персональных данных:

3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации и Курганской области, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества Оператора;

3.1.2. Персональные данные не могут быть использованы в целях причинения имущественного или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации;

3.1.3. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;

3.1.4. Субъекты персональных данных или их законные представители должны быть ознакомлены с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области;

3.1.5. Субъекты персональных данных, не являющиеся служащими, работниками, или их законные представители имеют право ознакомиться с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области;

3.1.6. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2. Порядок получения персональных данных:

3.2.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку Оператором. Форма заявления-согласия субъекта на обработку персональных данных представлена в приложении 1 к настоящему Положению;

3.2.2. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3.2.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении 2 к настоящему Положению;

3.2.4. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни;

3.2.5. Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральными законами;

3.3. Хранение персональных данных:

3.3.1. Хранение персональных данных субъектов осуществляется структурными подразделениями, осуществляющими кадровое обеспечение, бухгалтерский учет Управления, на бумажных и электронных носителях с ограниченным доступом;

3.3.2. Личные дела хранятся в бумажном виде в папках, прошитых и пронумерованных по страницам, в специальном запираемом шкафу, обеспечивающим защиту от несанкционированного доступа;

3.3.3. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

3.3.4. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

3.3.5. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3.3.6. Материальные носители информации персональных данных в нерабочее время хранятся в запирающихся в шкафах (сейфах).

3.3.7. Должностным лицам, ответственным за обработку персональных данных, запрещается:

- хранить материальные носители информации на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам без разрешения руководителя структурного подразделения;

- делать несанкционированные копии с носителей персональных данных;

- выносить носители с персональными данными за пределы Управления.

3.4. Передача персональных данных

3.4.1. При передаче персональных данных субъекта Оператор обязан соблюдать следующие требования:

- не сообщать персональные данные субъекта третьей стороне без согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.

- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

- не сообщать персональные данные субъекта без его письменного согласия;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;

3.4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.4.3. Внутренний доступ (доступ внутри Управления) к персональным данным субъекта имеют:

- начальник Управления;

- заместители начальника Управления - руководители структурных подразделений и их заместители;

- сам субъект, носитель данных.

3.4.4. Все государственные гражданские служащие и работники Управления, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении 3 к настоящему Положению.

3.4.5. К числу массовых потребителей персональных данных вне Управления относятся государственные и негосударственные функциональные структуры:

налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных и региональных органов управления. Надзорно - контрольные органы имеют доступ к информации только в сфере своей компетенции.

3.4.6. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

3.5. Уничтожение персональных данных.

3.5.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки и они подлежат уничтожению по достижении целей обработки, или в случае утраты необходимости в их достижении.

3.5.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

3.5.3. Уничтожение персональных данных осуществляется комиссией Управления с составлением акта, по истечению сроков хранения и обработки персональных данных.

3.5.4. Уничтожение бумажных носителей персональных данных осуществляется путем сожжения.

3.5.5. При необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

3.5.6. Уничтожение машинных носителей информации производится следующим путем:

- оптические диски и дискеты - путем оплавления в бесформенную массу;

- флеш накопители - путем ударно-механического повреждения основной платы, на которой располагается флеш память;

- накопитель на жестком магнитном диске - путем ударно механического повреждения исключения возможности восстановления информации в лабораторных условиях.

4. Права и обязанности субъектов персональных данных и Оператора

4.1. В целях обеспечения защиты персональных данных субъекты имеют право:

- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

- при отказе Оператора, или уполномоченного им лица, исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

- обращаться к Оператору о выполнении законных прав в области защиты персональных данных субъекта;

- обжаловать в суде любые неправомерные действия или бездействие Оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

4.2. Для защиты персональных данных субъектов Оператор обязан:

- за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;

- ознакомить субъект или его представителей с настоящим Положением и его правами в области защиты персональных данных;

- осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

- предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации;

- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

- по требованию субъекта или его законного представителя, предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

5. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

5.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.