Приложение 1. Правила обработки персональных данных в Думе города Нижневартовска. Постановление главы муниципального образования г. Нижневартовск Ханты-Мансийского автономного округа - Югры от 18.06.2015 N 37 "О перечне мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

Приложение 1
к постановлению главы
города Нижневартовска
от 18.06.2015 N 37

Правила
обработки персональных данных в Думе города Нижневартовска

1. Общие положения

1. Настоящие правила обработки персональных данных в Думе города Нижневартовска (далее - Правила) разработаны в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральными законами от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", Правилами внутреннего трудового распорядка в Думе города Нижневартовска.

2. Правила устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

3. Цель разработки Правил - определение порядка обработки персональных данных, обеспечение защиты прав и свобод работников Думы города при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников Думы города, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

4. Для целей настоящих Правил используются основные понятия, предусмотренные Федеральным законом "О персональных данных".

5. Действие Правил распространяется на все персональные данные субъектов, обрабатываемые Думой города Нижневартовска (далее - оператор) с применением средств автоматизации и без применения таких средств.

2. Цели и условия обработки персональных данных

1. Обработка персональных данных оператором производится с целью реализации трудовых отношений, а также в связи с осуществлением полномочий, установленных Уставом города Нижневартовска.

2. Оператор, получая доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

3. В целях информационного обеспечения оператор может создавать общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.

4. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством. Лицо, осуществляющее обработку персональных данных по поручению, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законодательством.

3. Сбор, обработка и защита персональных данных

1. Все персональные данные субъекта следует получать у него самого. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор обработки персональных данных должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

2. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

Обработка указанных персональных данных субъекта оператором возможна только с их согласия либо без их согласия в следующих случаях:

- персональные данные являются общедоступными;

- персональные данные относятся к состоянию здоровья субъекта и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3. Оператор вправе обрабатывать персональные данные субъекта только с их письменного согласия.

4. Согласие работника не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации (далее - ТК РФ) или иного Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения трудового договора;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.

5. В соответствии со статьей 86 главы 14 ТК РФ, в целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных работника должен соблюдать следующие общие требования:

1) обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания, обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами;

3) при принятии решений, затрагивающих интересы работника, оператор не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

4) защита персональных данных работника от неправомерного их использования или утраты обеспечивается оператором за счет его средств, в порядке, установленном федеральным законом.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

8. Субъекты персональных данных и их представители должны быть ознакомлены под расписку с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

Во всех случаях отказ субъекта от своих прав на сохранение и защиту тайны персональных данных недействителен.

4. Передача и хранение персональных данных

1. При передаче персональных данных субъекта оператор должен соблюдать следующие требования:

1) не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;

2) не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

3) на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);

4) осуществлять передачу персональных данных субъекта в пределах Думы города в соответствии с настоящими Правилами;

5) разрешать доступ к персональным данным субъекта только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения конкретной функции;

6) не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

7) передавать персональные данные субъекта представителям субъекта в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.

2. Хранение и использование персональных данных субъектов:

1) персональные данные субъектов обрабатываются и хранятся у ответственного за обработку персональных данных;

2) персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе "1С Зарплата и кадры".

3. При получении персональных данных не от субъекта (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными) оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных.

4. Сроки обработки и хранения персональных данных определяются:

- Приказом Минкультуры Российской Федерации от 25.08.2010 N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения";

- сроком исковой давности;

- иными требованиями законодательства Российской Федерации и муниципальными правовыми актами оператора.

5. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов.

6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, договором, стороной которого является субъект персональных данных.

7. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

5. Доступ к персональным данным субъектов

1. Право доступа к персональным данным работников имеют лица, определенные в перечне должностей в Думе города, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным, утвержденного правовым актом главы города Нижневартовска.

2. Субъект имеет право:

1) получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта;

2) требовать от оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для оператора персональных данных;

3. Получать от оператора:

1) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

2) перечень обрабатываемых персональных данных и источник их получения;

3) сроки обработки персональных данных, в том числе сроки их хранения;

4) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5) требовать извещения оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

6) обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия оператора при обработке и защите его персональных данных.

4. Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях.

6. Порядок уничтожения персональных данных при достижении целей обработки или наступлении иных законных оснований

1. В случае достижения цели обработки персональных данных ответственный за организацию обработки персональных данных обязан обеспечить прекращение обработки и уничтожение персональных данных в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими правовыми актами.

2. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных ответственный за организацию обработки персональных данных обязан обеспечить прекращение обработки и уничтожение персональных данных в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператор и субъектом персональных данных. Об уничтожении персональных данных ответственный за организацию обработки персональных данных обязан обеспечить уведомление субъекта персональных данных не позднее трех рабочих дней со дня уничтожения.

3. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, ответственный за организацию обработки персональных данных обязан обеспечить блокирование и уничтожение таких персональных данных в срок, не превышающий шести месяцев, если иной срок не установлен федеральными законами.

4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

1. Работники Думы города, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут ответственность в соответствии с федеральными законами.

2. Оператор за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет ответственность соответствии с федеральными законами.