Приложение. Положение о защите персональных данных работников администрации района, занимающих должности, не отнесенные к должностям муниципальной службы. Постановление администрации Пичаевского района Тамбовской области от 05.03.2013 N 275 "Об утверждении Положения о защите персональных данных работников администрации района, занимающих должности, не отнесённые к должностям муниципальной службы"

Приложение

Положение
о защите персональных данных работников администрации района, занимающих должности, не отнесенные к должностям муниципальной службы
(утв. постановлением администрации Пичаевского района Тамбовской области
от 5 марта 2013 г. N 275)

1. Общие положения

1.1. Настоящее Положение устанавливает порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения персональных данных сотрудников администрации района, занимающих должности, не отнесенные к должностям муниципальной службы. Под сотрудниками администрации района, занимающими должности, не отнесенные к должностям муниципальной службы (далее - субъекты персональных данных) подразумеваются лица, имеющие трудовые отношения с администрацией района.

1.2. Целью настоящего Положения является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.3. Сбор, хранение, использование, распространение информации, относящейся к персональным данным субъекта персональных данных, без письменного его согласия не допускается, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации. Персональные данные относятся к категории конфиденциальной информации.

1.4. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не предусмотрено действующим законодательством Российской Федерации.

1.5. Должностные лица администрации района (операторы), в обязанность которых входит обработка (ведение) персональных данных субъекта персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами (информацией), непосредственно затрагивающими его права и свободы.

1.6. Операторы, осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных, в соответствии со своими полномочиями владеющие информацией о субъектах персональных данных, получающие и использующие ее, несут ответственность в соответствии с действующим законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информацией.

1.7. Настоящее Положение является обязательным для исполнения всеми сотрудниками администрации района, имеющими доступ к персональным данным.

1.8. Положения, позиция, которые не предусмотрены настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации.

2. Понятие и состав персональных данных

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Состав персональных данных:

- анкетные и биографические данные;

- образование;

- сведения о трудовом стаже;

- паспортные данные;

- сведения о воинском учете;

- сведения о социальных льготах;

- специальность;

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- содержание трудового договора;

- личное дело и трудовая книжка;

- материалы по повышению квалификации и переподготовке;

- характеристики, аттестации и материалы к служебным расследованиям;

- иная информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных.

2.3. Документы, содержащие персональные данные, являются конфиденциальными, но в связи с их регламентированием порядка обработки и четким определением мест хранения - гриф ограничения на них не ставится.

3. Обязанности работодателя (оператора)

3.1. В целях обеспечения прав и свобод субъекта персональных данных работодатель и (или) его представители (оператор) при обработке персональных данных обязаны соблюдать следующие общие требования:

3.1.1. Обрабатывать персональные данные исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.1.2. При определении объема и содержания обрабатываемых персональных данных руководствоваться Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным Законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами Российской Федерации.

3.1.3. Получение персональных данных осуществляется непосредственно у самого субъекта персональных данных с его согласия (приложение N 1). Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (приложение N 2).

3.1.4. Не получать и не обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.1.5. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена за счет его средств (работодателя), в порядке, установленном Конституцией Российской Федерации, Международными договорами Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации.

3.1.6. Субъекты персональных данных должны быть ознакомлены под роспись с документами администрации района, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.2. При обработке персональных данных работодатель обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных".

3.3. В случае, если обязанность предоставления персональных данных установлена федеральным законодательством Российской Федерации, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставления персональных данных.

3.4. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных пунктом 3.5. настоящего Положения, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

3.5. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 3.4. настоящего Положения, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

3.6. В целях устранения нарушений законодательства, допущенных при обработке персональных данных, а также уточнения, блокирования и уничтожения персональных данных, работодатель обязан:

3.6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу, или по запросу уполномоченного органа по защите прав субъектов персональных данных, оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3.6.2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.6.3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.6.4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами Российской Федерации.

3.6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных (приложение N 3) оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

3.6.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 3.6.3. - 3.6.5. настоящего Положения, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами Российской Федерации.

4. Обязанности субъекта персональных данных

4.1. Передавать работодателю и (или) его представителю комплект достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом Российской Федерации.

4.2. Своевременно сообщать работодателю об изменении своих персональных данных.

5. Права субъекта персональных данных

5.1. Субъект персональных данных имеет право на получение сведений, указанных в пункте 5.4. настоящего Положения. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.2. В случае, если сведения, указанные в пункте 5.4. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 5.4. настоящего Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.

5.3. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 5.4. настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5.2. настоящего Положения, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

5.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами Российской Федерации.

5.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Обработка персональных данных

6.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.2. Порядок получения персональных данных.

6.2.1. Все персональные данные субъекта персональных данных получаются у него самого. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на получение соответствующих данных (Приложение N 2). Работодатель должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

6.2.2. Запрещается получать и обрабатывать персональные данные субъекта персональных данных его политических, религиозных и иных убеждениях и частной жизни.

6.3. К обработке, передаче и хранению персональных данных субъекта персональных данных могут иметь доступ:

- глава района;

- заместители главы администрации района;

- управляющий делами администрации района;

- начальники структурных подразделений.

6.4. При передаче персональных данных субъекта персональных данных

работодатель должен соблюдать следующие требования:

- не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а так же в случаях, установленных действующим законодательством Российской Федерации;

- предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;

- разрешать доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций.

6.5. Все меры конфиденциальности при обработке персональных данных субъекта персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

6.6. Категорически запрещается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

6.7. По возможности персональные данные обезличиваются.

7. Использование персональных данных

7.1. Внутренний доступ (доступ внутри администрации района).

7.1.1. Право доступа к персональным данным субъекта персональных данных имеют:

- глава района;

- заместители главы администрации района;

- управляющий делами администрации района;

- начальники структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);

- при переводе из одного структурного подразделения в другое, доступ к персональным данным субъекта персональных данных может иметь начальник

нового подразделения;

- субъект персональных данных.

7.1.2. Другие сотрудники администрации района имеют доступ к персональным данным субъекта персональных данных только с письменного согласия самого субъекта персональных данных, носителя данных.

7.2. Внешний доступ.

7.2.1. Потребителями персональных данных вне администрации района являются:

- правоохранительные органы;

- военный комиссариат;

- пенсионный фонд;

- иные потребители, имеющие право на получение персональных данных субъекта персональных данных в соответствии с действующим законодательством Российской Федерации.

7.2.2. Контролирующие органы имеют доступ к информации только в сфере своей компетенции.

7.2.3. Персональные данные субъекта персональных данных предоставляются родственникам или членам его семьи в порядке, установленном действующим законодательством Российской Федерации.

8. Сохранение конфиденциальности персональных данных

8.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

8.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

8.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе деятельности администрации района.

8.4. Защита персональной информации внутри администрации района.

8.4.1. Для регламентации доступа сотрудников администрации района к конфиденциальным сведениям, документам и базам данных в целях исключения несанкционированного доступа третьих лиц и защиты персональных данных субъекта персональных данных необходимо соблюдать:

- ограничение и регламентацию состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- рациональное размещение рабочих мест сотрудников, при котором исключается бесконтрольное использование защищаемой информации;

- знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника с базами данных;

- организация порядка уничтожения информации;

- своевременное выявление нарушения требований разрешительной системы доступа к конфиденциальной информации;

- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты и разглашению сведений при работе с конфиденциальными документами;

- ограничение допускается выдачи личных дел субъекта персональных данных на рабочие места руководителей.

8.4.2. Все папки на электронных носителях, содержащие персональные данные субъекта персональных данных, должны быть защищены паролем.

8.5. Защита персональной информации от воздействия внешних факторов.

8.5.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

8.5.2. Проведение комплекса мероприятий по исключению несанкционированного доступа к информационным ресурсам с целью предотвращения овладения конфиденциальными сведениями, их использованием, а также видоизменения, уничтожения, внесения вирусов, подмены, фальсификации содержания, реквизитов документа и прочее.

8.6. Под посторонними лицами понимаются любые лица, не имеющие непосредственного отношения к деятельности администрации района, посетители.

8.7. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и мест хранения документов, дел и рабочих материалов.

8.8. Для защиты персональных данных субъектов персональных данных необходимо соблюдать:

- порядок приема, учета и контроля деятельности посетителей;

- требования к защите информации при интервьюировании и собеседованиях.

8.9. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации.

8.10. Операторы, связанные с получением, обработкой и защитой персональных данных субъектов персональных данных обязаны принять обязательство о неразглашении персональных данных субъекта персональных данных (приложение N 4).

9. Ответственность за разглашение персональных данных.

9.1. Обязательным условием обеспечения высокой надежности и эффективности функционирования системы защиты информации, является личная ответственность каждого оператора, осуществляющего обработку персональных данных.

9.2. Руководитель, разрешающий доступ оператора к конфиденциальному документу, несет персональную ответственность за данное разрешение.

9.3. Каждый сотрудник администрации района, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.4. Лица, виновные в нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации.

10. Право на обжалование действий или бездействия оператора

10.1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона N 152-ФЗ от 27.07.2007 "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

10.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.