Постановление Администрации Североуральского городского округа Свердловской области от 27.01.2012 N 106 "Об утверждении Положения об обработке и защите персональных данных работников органов местного самоуправления Североуральского городского округа"

В соответствии со статьями 85-90 Трудового кодекса Российской Федерации ("Российская газета", 2001, 31 декабря, N 256) с изменениями на 22 ноября 2011 года, Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" ("Российская газета", 2006, 29 июля, N 165) в редакции от 25 июля 2011 года, Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" ("Российская газета", 2005, 07 июля, N 120) в редакции от 23 октября 2008 года постановляет:

1. Утвердить Положение об обработке и защите персональных данных работников органов местного самоуправления Североуральского городского округа (прилагается).

2. Руководителям органов местного самоуправления Североуральского городского округа ознакомить всех работников с Положением об обработке и защите персональных данных работников органов местного самоуправления Североуральского городского округа.

3. Опубликовать настоящее постановление в газете "Наше слово" и на сайте Администрации Североуральского городского округа.

4. Контроль за исполнением настоящего постановления оставляю за собой.

И.о. Главы Североуральского городского округа

А.П. Дармин

Положение
об обработке и защите персональных данных работников органов местного самоуправления Североуральского городского округа
(утв. постановлением Администрации Североуральского городского округа от 27 января 2012 г. N 106)

Глава 1. Общие положения

1. Настоящее Положение об обработке и защите персональных данных работников органов местного самоуправления Североуральского городского округа (далее - Положение) устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников органов местного самоуправления Североуральского городского округа.

2. Основанием для разработки настоящего Положения являются:

Конституция Российской Федерации;

Трудовой кодекс Российской Федерации;

Кодекс Российской Федерации об административных правонарушениях;

Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных";

Указ Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера".

Глава 2. Основные понятия. Состав персональных данных

3. В настоящем Положении используются следующие основные понятия:

работник - физическое лицо, вступившее в трудовые отношения с работодателем - органом местного самоуправления Североуральского городского округа;

персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника;

обработка персональных данных работника - получение, хранение, передача или любое другое использование персональных данных работника;

защита персональных данных работника - деятельность работодателя по обеспечению порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями;

конфиденциальная информация - информация в документированном или электронном виде, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

персональные данные, сделанные работником общедоступными, - персональные данные, доступ неограниченного круга лиц к которым предоставлен работником либо по его просьбе работодателем;

распространение персональных данных работника - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных работника - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных работника - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных работника - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных работника - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

4. Под персональными данными работников органов местного самоуправления Североуральского городского округа понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

5. К персональным данным работников относятся:

фамилия, имя, отчество;

дата и место рождения;

серия и номер паспорта, дата его выдачи, выдавший его орган;

адреса регистрации и фактического проживания работника;

семейное положение, наличие детей;

информация об образовании, профессии, специальности работника, фактах повышения квалификации;

информация, содержащаяся в трудовой книжке работника;

информация, содержащаяся в страховом свидетельстве обязательного пенсионного страхования;

сведения о воинском учете.

6. К документам, содержащим персональные данные работников, относятся:

документы, содержащие информацию медицинского характера, в случаях, предусмотренных действующим законодательством;

анкета работника;

трудовой договор и дополнительные соглашения к нему;

сведения о доходах, об имуществе и обязательствах имущественного характера;

документы организационно-распорядительного и кадрового характера;

иные документы, содержащие сведения о фактах, событиях и обстоятельствах жизни, позволяющие идентифицировать личность работника, содержащиеся в его личном деле или подлежащие включению в личное дело.

Глава 3. Получение персональных данных работников

7. При заключении трудового договора лицо, поступающее на работу в орган местного самоуправления Североуральского городского округа, представляет работодателю следующие документы, содержащие его персональные данные:

1) заявление;

2) паспорт или иной документ, удостоверяющий личность;

3) трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

4) страховое свидетельство обязательного пенсионного страхования, за исключением случаев, когда трудовой договор заключается впервые;

5) документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

6) иные документы, предусмотренные законодательством и необходимые для реализации работниками своих прав, предоставления им соответствующих гарантий и компенсаций.

8. Помимо указанных в пункте 7 настоящего Положения сведений, лица, претендующие на замещение должности муниципальной службы, представляют также:

1) документ об образовании;

2) свидетельство о постановке физического лица на учет в налоговом органе по месту жительства на территории Российской Федерации;

3) заключение медицинского учреждения об отсутствии заболевания, препятствующего поступлению на муниципальную службу;

4) сведения о доходах за год, предшествующий году поступления на муниципальную службу, об имуществе и обязательствах имущественного характера.

9. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие по установленной форме (приложение N 1). Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

10. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

11. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Глава 4. Основания обработки персональных данных работников

12. Обработка персональных данных работников допускается в следующих случаях:

1) при согласии работника на обработку его персональных данных;

2) в целях исполнения условий трудового договора;

3) при необходимости защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно;

4) при необходимости осуществления прав и законных интересов работодателя или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы работника как субъекта персональных данных;

5) в статистических или иных исследовательских целях (за исключением обработки их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации) при условии обязательного обезличивания персональных данных;

6) при обработке персональных данных, сделанных работником общедоступными;

7) в иных случаях, предусмотренных федеральными законами.

13. Согласие работника на обработку своих персональных данных дается им в письменном виде по установленной форме (приложение N 2).

Письменное согласие работника должно включать в себя:

1) фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя работника);

3) наименование работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие работника;

6) перечень действий с персональными данными, на совершение которых дается согласие работника, общее описание используемых работодателем способов обработки персональных данных;

7) срок, в течение которого действует согласие работника, а также способ его отзыва;

8) подпись работника.

14. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие условия:

1) обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;

3) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

4) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;

5) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

6) во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

15. Полномочиями по организации обработки персональных данных работников органов местного самоуправления Североуральского городского округа наделены кадровые службы либо специалисты, на которых возложены функции по ведению кадровой работы (далее - кадровые службы)

Глава 5. Хранение и защита персональных данных работников

16. Сведения о работниках органов местного самоуправления Североуральского городского округа на бумажных носителях хранятся в помещении кадровой службы, где формируются личные дела работников. Для хранения указанных сведений используются сейфы и шкафы, которые запираются.

17. Конкретные обязанности по хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек и иных документов, содержащих персональные данные работников, возлагаются на работников кадровой службы в соответствии с их трудовыми договорами, должностными инструкциями.

18. Работники кадровой службы обязаны:

1) осуществлять внутренний контроль за соблюдением работодателем и работниками органов местного самоуправления Североуральского городского округа законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных работников;

2) доводить до сведения работников органов местного самоуправления Североуральского городского округа положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных работников;

3) организовывать прием и обработку обращений и запросов работников органов местного самоуправления Североуральского городского округа как субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

19. Персональные данные работников относятся к конфиденциальной информации. Работодатель обеспечивает ограничение доступа к персональным данным работников лиц, не уполномоченных законом или работодателем для получения соответствующих сведений.

20. Доступ к персональным данным работников без специального разрешения имеют следующие лица органов местного самоуправления Североуральского городского округа:

1) руководитель;

2) заместитель руководителя;

3) руководитель кадровой службы;

4) руководитель юридической службой;

5) руководитель бухгалтерской службой;

6) бухгалтер, выполняющий функции по оплате труда.

21. Указанные лица имеют право получать только те сведения о персональных данных работников Североуральского городского округа, которые необходимы для выполнения конкретных функций.

22. Работодатель и иные лица, получившие доступ к персональным данным работников, обязаны не раскрывать третьим лицам и не распространять указанные персональные данные без согласия соответствующего работника, если иное не предусмотрено федеральным законом.

23. Основными организационными мерами защиты персональных данных работников органов местного самоуправления Североуральского городского округа являются:

1) предотвращение несанкционированного доступа к информации о персональных данных работников и (или) передачи ее лицам, не имеющим права на доступ к указанной информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации о персональных данных работников;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации о персональных данных работников;

4) возможность незамедлительного восстановления информации о персональных данных работников, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

5) постоянный контроль за обеспечением уровня защищенности информации о персональных данных работников.

Глава 6. Передача персональных данных

24. При передаче персональных данных работников работодатель должен соблюдать следующие требования:

1) не сообщать персональные данные работника третьей стороне без письменного согласия работника (приложение N 3), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в иных случаях, предусмотренных федеральными законами;

2) не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

3) предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

5) разрешать доступ к персональным данным работника только лицам, указанным в пункте 20 настоящего Положения, при этом указанные лица должны получать только ту информацию, которая необходима им для выполнения конкретных функций;

6) не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

7) передавать персональные данные работника представителям работников в порядке, установленном федеральными законами, настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Глава 7. Права и обязанности работников

25. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

1) на полную информацию об их персональных данных и обработке этих данных;

2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работников, за исключением случаев, предусмотренных федеральным законом;

3) определение представителей для защиты своих персональных данных;

4) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований федеральных законов;

5) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

6) обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

26. В целях обеспечения достоверности персональных данных работники обязаны:

1) при приеме на работу предоставить полные и достоверные данные о себе;

2) в случае изменения сведений, составляющих персональные данные работника, незамедлительно предоставить данную информацию работодателю.

Глава 8. Права и обязанности работодателя

27. Работодатель имеет право:

1) получать персональные данные работников любым не запрещенным законом способом в объеме, необходимом для работы органа местного самоуправления Североуральского городского округа;

2) ограничить право работника (представителя работника) на доступ к его персональным данным в соответствии с нормами федерального законодательства.

28. Работодатель обязан:

1) принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

2) в случае обращения сообщить работнику или его представителю информацию о наличии персональных данных, относящихся к соответствующему работнику, предоставить возможность ознакомления с этими персональными данными или предоставить указанную информацию в течение тридцати дней с даты получения запроса работника или его представителя, либо представить мотивированный отказ в письменной форме со ссылкой на конкретную норму федерального закона, являющуюся основанием для такого отказа;

3) в срок, не превышающий семи рабочих дней со дня предоставления работником или его представителем сведений, подтверждающих, что персональные данные, относящиеся к данному работнику, являются неполными, неточными или неактуальными, внести в них необходимые изменения либо уничтожить в течение того же срока при представлении сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, после чего работодатель обязан уведомить работника или его представителя о внесенных изменениях и предпринятых мерах и принять меры для уведомления третьих лиц, которым персональные данные этого работника были переданы;

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

5) в случае выявления неправомерной обработки персональных данных либо наличия неточных персональных данных при обращении или по запросу работника или его представителя осуществить блокирование указанных персональных данных, относящихся к этому работнику, с момента такого обращения или получения запроса на период проверки (если блокирование персональных данных не нарушает права и законные интересы работника или третьих лиц). В случае подтверждения факта неточности персональных данных в течение семи рабочих дней со дня представления таких сведений уточнить персональные данные и снять их блокирование. При подтверждении факта неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, работодатель обязан прекратить неправомерную обработку персональных данных. В случае невозможности обеспечения правомерности обработки персональных данных в срок, не превышающий десяти рабочих дней с даты выявления ее неправомерности, - уничтожить такие персональные данные с уведомлением работника или его представителя о принятых мерах;

6) в случае достижения цели обработки персональных данных прекратить обработку и удалить их из информационных систем персональных данных в срок, не превышающий тридцати дней с даты достижения указанной цели;

7) в случае отзыва работником согласия на обработку его персональных данных прекратить их обработку, и в случае если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;

8) принимать иные меры для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных;

9) обеспечить хранение первичной учетной документации по учету труда и его оплаты (документы по учету кадров, учету рабочего времени и другие);

10) безвозмездно выдавать надлежащим образом заверенные копии документов, связанных с работой, на основании письменного заявления работника в срок не позднее трех дней со дня его подачи.

Глава 9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

29. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника и установленных действующим законодательством Российской Федерации и настоящим Положением, привлекаются к ответственности в порядке, установленном федеральными законами.

Приложение N 1
к Положению об обработке и защите
персональных данных работников органов местного
самоуправления Североуральского городского округа

	___________________________________ (наименование должности работодателя, Ф.И.О.) от _________________________________ ___________________________________ (наименование должности, Ф.И.О.)
Я, __________________________________________________________________, (фамилия, имя, отчество) согласен(а) на получение Вами сведений обо мне, содержащих данные о ______________ __________________________________________________________________________ __________________________________________________________________________ (перечень персональных данных) из ________________________________________________________________________ (указать, откуда могут быть получены персональные данные) с целью ___________________________________________________________________ (указать цель обработки персональных данных) в форме___________________________________________________________________ (указать форму получения персональных данных) в течение _________________________________________________________________. (указать срок действия согласия) Настоящее согласие вступает в силу с момента его подписания. Я оставляю за собой право отозвать свое согласие в любое время посредством составления соответствующего письменного документа, который может быть направлен мной в адрес работодателя по почте заказным письмом с уведомлением о вручении либо вручен лично представителю работодателя.
"___" ____________20____г.	_________________ (фамилия, инициалы)	______________ (подпись)

Приложение N 2
к Положению об обработке и защите
персональных данных работников органов местного
самоуправления Североуральского городского округа

	____________________________________ (наименование должности работодателя, Ф.И.О.) от __________________________________ ____________________________________ (наименование должности, Ф.И.О.)
Я, _________________________________________________________________, (Ф.И.О., паспортные данные) согласен(а) на обработку моих персональных данных, переданных мной и содержащихся в личном деле, анкете, органом местного самоуправления (далее - работодатель), расположенным по адресу: ___________________________________________________ _________________________________________________________________________. Я проинформирован(а) о том, что под обработкой персональных данных понимаются получение, хранение, передача или любое другое использование персональных данных работника в рамках выполнения Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Конфиденциальность персональных данных соблюдается в рамках исполнения работодателем законодательства Российской Федерации. Целью обработки персональных данных является ведение кадрового делопроизводства и бухгалтерского учета работодателем, а также выполнение кадровой службой иных действий, установленных законодательством о муниципальной службе. Работодатель вправе обрабатывать мои персональные данные с использованием средств автоматизации и без использования таких средств, включать в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими деятельность работодателя. Настоящее согласие дано мной на период действия трудового договора, заключенного с работодателем, с правом отзыва. Настоящее согласие вступает в силу с момента его подписания. Я оставляю за собой право отозвать свое согласие в любое время посредством составления соответствующего письменного документа, который может быть направлен мной в адрес работодателя по почте заказным письмом с уведомлением о вручении либо вручен лично представителю работодателя.
"___" ____________20____г.	_________________ (фамилия, инициалы)	___________ (подпись)

Приложение N 3
к Положению об обработке и защите
персональных данных работников органов местного
самоуправления Североуральского городского округа

	____________________________________ (наименование должности работодателя, Ф.И.О.) от __________________________________ ____________________________________ (наименование должности, Ф.И.О.)
Я, _________________________________________________________________, (фамилия, имя, отчество) согласен(а) на передачу Вами сведений обо мне, содержащих данные о _____________ _________________________________________________________________________ _________________________________________________________________________ (перечень персональных данных) в ________________________________________________________________________ (указать, куда могут быть переданы персональные данные) с целью _________________________________________________________________________ _________________________________________________________________________ (указать цель обработки персональных данных) в форме__________________________________________________________________ (указать форму получения персональных данных) в течение _________________________________________________________________ (указать срок действия согласия) Настоящее согласие вступает в силу с момента его подписания. Я оставляю за собой право отозвать свое согласие в любое время посредством составления соответствующего письменного документа, который может быть направлен мной в адрес работодателя по почте заказным письмом с уведомлением о вручении либо вручен лично представителю работодателя.
"___" ____________20____г.	_________________ (фамилия, инициалы)	____________ (подпись)