Приложение. Положение об обработке и защите персональных данных в Управлении по обеспечению деятельности мировых судей в Курганской области. Приказ Управления по обеспечению деятельности мировых судей в Курганской области от 23.07.2015 N 67 "Об утверждении Положения об обработке и защите персональных данных в Управлении по обеспечению деятельности мировых судей в Курганской области"

Приложение
к приказу Управления по обеспечению деятельности
мировых судей в Курганской области
от 23 июля 2015 года N 67
"Об утверждении Положения об обработке и защите
персональных данных в Управлении по обеспечению
деятельности мировых судей в Курганской области"

Положение
об обработке и защите персональных данных в Управлении по обеспечению деятельности мировых судей в Курганской области

1. Общие положения

1.1. Положение об обработке и защите персональных в Управлении по обеспечению деятельности мировых судей в Курганской области (далее - Управление, Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Федеральным законом от 27 мая 2003 года N 58-ФЗ "О системе государственной службы Российской Федерации", Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 25 декабря 2008 года N 273-ФЗ "О противодействии коррупции", Указом Президента Российской Федерации от 1 февраля 2005 года N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации", Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", распоряжением Правительства Российской Федерации от 26 мая 2005 года N 667-р "Об утверждении формы анкеты, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации", иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.2. Настоящее Положение определяет политику Управления, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Целью настоящего Положения является определение порядка обработки персональных данных и закрепление механизмов обеспечения защиты прав субъектов персональных данных, к которым относятся:

- государственные гражданские служащие Курганской области, замещающие должности государственной гражданской службы Курганской области в Управлении (далее - гражданские служащие);

- работники Управления, занимающие должности, не отнесенные к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области, а так же работники по профессиям рабочих (далее - работники);

- граждане Российской Федерации, претендующие на замещение вакантных должностей государственной гражданской службы Курганской области в Управлении, включение в кадровый резерв Управления и резерв управленческих кадров (далее - граждане, претендующие на замещение должностей (включение в резерв)).

1.4. Обработка персональных данных в Управлении осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

2. Основные понятия

Для целей настоящего Положения используются следующие понятия:

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

2.2. Оператор - государственный орган, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В рамках настоящего Положения Оператором является Управление по обеспечению деятельности мировых судей в Курганской области (далее - Оператор).

2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5. Предоставление персональных данных - действия направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.7. Блокирование персональных данных - временное прекращение обработки персональных данных.

2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. К персональным данным субъекта относятся:

- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- информация о гражданстве;

- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

- адрес места жительства (адрес регистрации, фактического проживания);

- номер контактного телефона или сведения о других способах связи;

- данные страхового свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- данные страхового медицинского полиса обязательного медицинского страхования;

- данные свидетельства государственной регистрации актов гражданского состояния;

- семейное положение, состав семьи и сведения о близких родственниках;

- сведения о воинском учете и данные документов воинского учета;

- сведения об образовании;

- сведения об ученой степени (звании);

- информация о владении иностранными языками, степень владения;

- сведения об отсутствии у гражданина Российской Федерации заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению;

- фотография;

- сведения о выполняемой работе с начала трудовой деятельности (включая учебу в высших и средних профессиональных образовательных организациях, военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);

- информация, содержащаяся в служебном контракте (трудовом договоре), дополнительных соглашениях к служебному контракту (трудовому договору);

- сведения о пребывании за границей;

- информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине государственной гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

- информация об осуждении к наказанию, исключающему возможность исполнения должностных обязанностей по должности государственной гражданской службы Курганской области, по приговору суда, вступившему в законную силу, а также наличии не снятой или не погашенной в установленной федеральном законом порядке судимости;

- информация об оформленных допусках к государственной тайне;

- сведения о государственных наградах, иных наградах, знаках отличия и поощрениях;

- сведения о дополнительном профессиональном образовании;

- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

- номера лицевого счета, текущего счета, банковской карты;

- сведения о доходах, об имуществе и обязательствах имущественного характера гражданина Российской Федерации, претендующего на замещение должности государственной гражданской службы Курганской области в Управлении, а также сведения о доходах, расходах, об имуществе и обязательствах, имущественного характера, представляемые гражданским служащим;

- табельный номер;

- иные персональные данные, необходимые для реализации государственно-служебных (служебных (трудовых) отношений, законодательства о противодействии коррупции).

3. Обработка персональных данных

3.1. Общие требования при обработке персональных данных:

3.1.1. обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации и Курганской области, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества Оператора;

3.1.2. персональные данные не могут быть использованы в целях причинения имущественного или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации;

3.1.3. при принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;

3.1.4. субъекты персональных данных или их законные представители должны быть ознакомлены с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области;

3.1.5. субъекты персональных данных, не являющиеся служащими, работниками, или их законные представители имеют право ознакомиться с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области;

3.1.6. субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2. Порядок получения персональных данных:

3.2.1. все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку Оператором. Форма согласия субъекта на обработку персональных данных представлена в приложении 1 (для государственных служащих и работников) и в приложении 2 (для граждан, претендующих на замещение должностей (включение в резерв) к настоящему Положению.

В случае непредставления своих персональных данных субъекту персональных данных письменно разъясняются юридические последствия отказа предоставить свои персональные данные согласно приложению 3 к настоящему Положению;

3.2.2. письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3.2.3. согласие на обработку персональных данных может быть отозвано субъектом персональных данных на основании составленного в произвольной форме заявления;

3.2.4. запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни;

3.2.5. запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральными законами.

3.3. Хранение персональных данных:

3.3.1. хранение персональных данных субъектов осуществляется структурными подразделениями, осуществляющими кадровое обеспечение, бухгалтерский учет Управления, на бумажных и электронных носителях с ограниченным доступом;

3.3.2. личные дела хранятся в бумажном виде в папках, прошитых и пронумерованных по страницам, в специальном запираемом шкафу, обеспечивающем защиту от несанкционированного доступа;

3.3.3. подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

3.3.4. при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ;

3.3.5. необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

3.3.6. материальные носители информации персональных данных в нерабочее время хранятся в запираемых в шкафах (сейфах);

3.3.7. должностным лицам, ответственным за обработку персональных данных, запрещается:

- хранить материальные носители информации на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам без разрешения руководителя структурного подразделения;

- делать несанкционированные копии с носителей персональных данных;

- выносить носители с персональными данными за пределы Управления.

4. Передача персональных данных

4.1. При передаче персональных данных субъекта Оператор обязан соблюдать следующие требования:

- не сообщать персональные данные субъекта третьей стороне без согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;

- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

- не сообщать персональные данные субъекта без его письменного согласия;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.

4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.3. Внутренний доступ (доступ внутри Управления) к персональным данным субъекта имеют:

- начальник Управления;

- заместители начальника Управления - руководители структурных подразделений и их заместители;

- сам субъект персональных данных.

4.4. Все государственные гражданские служащие и работники Управления, непосредственно осуществляющие обработку персональных данных, в случае расторжения с ними служебного контракта (трудового договора), письменно обязуются прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей. Форма обязательства представлена в приложении 4 к настоящему Положению.

4.5. К числу массовых потребителей персональных данных вне Управления относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; государственный пенсионный фонд; подразделения федеральных и региональных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.6. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

4.7. Уничтожение персональных данных:

4.7.1. персональные данные субъекта хранятся не дольше, чем этого требуют цели их обработки и они подлежат уничтожению по достижению целей обработки, или в случае утраты необходимости в их достижении;

4.7.2. документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации;

4.7.3. уничтожение персональных данных осуществляется комиссией Управления с составлением акта, по истечению сроков хранения персональных данных;

4.7.4. уничтожение бумажных носителей персональных данных осуществляется путем сожжения;

4.7.5. при необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению;

4.7.6. уничтожение машинных носителей информации производится следующим путем:

- оптические диски и дискеты - путем оплавления в бесформенную массу;

- флеш-накопители - путем ударно-механического повреждения основной платы, на которой располагается флеш-память;

- накопитель на жестком магнитном диске - путем ударно механического повреждения исключения возможности восстановления информации в лабораторных условиях.

5. Права и обязанности субъектов персональных данных и Оператора

5.1. В целях обеспечения защиты персональных данных субъекты имеют право:

- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

- при отказе Оператора или уполномоченного им лица, исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

- обращаться к Оператору о выполнении законных прав в области защиты персональных данных субъекта;

- обжаловать в суде любые неправомерные действия или бездействие Оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

5.2. Для защиты персональных данных субъекта Оператор обязан:

- за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;

- ознакомить субъект или его представителей с настоящим Положением и его правами в области защиты персональных данных;

- осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

- предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации;

- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

- по требованию субъекта или его законного представителя, предоставить ему полную информацию о его персональных данных и обработке этих данных.

5.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законам.