Приложение. Положение о персональных данных военнослужащих, сотрудников ФПС и федеральных государственных гражданских служащих в Центральном региональном центре МЧС России. Приказ МЧС России от 15.06.2011 N 250 "Об утверждении Положения о персональных данных военнослужащих, сотрудников ФПС и федеральных государственных гражданских служащих в Центральном региональном центре МЧС России"

Приложение
к приказу Центрального регионального центра
МЧС России
от 15 июня 2011 г. N 250

Положение
о персональных данных военнослужащих, сотрудников ФПС и федеральных государственных гражданских служащих в Центральном региональном центре МЧС России

I. Общие положения

Настоящее Положение определяет перечень персональных данных военнослужащих, сотрудников ФПС и федеральных государственных гражданских служащих (далее - сотрудников) в Центральном региональном центре МЧС России (далее - региональный центр), операторов персональных данных в региональном центре, порядок обработки персональных данных, права и обязанности работодателя и сотрудников при их обработке и разработано с целью защиты прав сотрудников регионального центра.

Регулирование порядка обработки персональных данных сотрудников направлено на:

возникновение трудовых отношений и иных непосредственно связанных с ними отношений, а также на эффективную организацию трудового процесса;

защиту неприкосновенности частной жизни сотрудников регионального центра, их личной и семейной тайны;

недопущение нанесения вреда чести, достоинству, деловой репутации, доброму имени, иным нематериальным благам и имущественным интересам сотрудников.

Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.1997 N 188, Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденной Постановлением Правительства РФ от 06.02.2010 N 63, и иными нормативными актами, действующими на территории Российской Федерации.

Настоящее Положение является обязательным для исполнения всеми сотрудниками регионального центра. Сотрудники регионального центра должны быть ознакомлены под роспись с настоящим Положением и изменениями к нему.

В настоящем Положении используются следующие термины и их определения:

персональные данные сотрудника - любая документированная информация, относящаяся к определенному или определяемому на основании такой информации сотруднику, необходимая работодателю в связи с трудовыми отношениями;

сотрудник - физическое лицо, заключившее контракт с региональным центром;

работодатель - региональный центр, который через начальника или уполномоченных начальником должностных лиц предоставляет сотруднику работу, обусловленную контрактом;

оператор персональных данных работников - представители работодателя (структурные подразделения, должностные и иные уполномоченные лица), которые в рамках заключённого контракта организуют и (или) осуществляют обработку персональных данных сотрудников;

обработка персональных данных сотрудников - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

трансграничная передача персональных данных сотрудников (вывоз материалов, содержащих персональные данные за границу) - передача персональных данных сотрудников от имени регионального центра через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

конфиденциальность персональных данных сотрудников - обязательное для соблюдения работодателем или его оператором персональных данных сотрудников требование не допускать их распространения без согласия сотрудника или наличия иного законного основания;

защита персональных данных сотрудников - деятельность по обеспечению установленного порядка обработки персональных данных и проведению организационно-технических мер защиты конфиденциальности информации о конкретном сотруднике, полученной работодателем в рамках заключённого с сотрудником контракта.

II. Состав персональных данных сотрудников и операторов их обрабатывающих

В состав персональных данных сотрудника регионального центра входят персональные данные объективного и оценочного характера из документов, получаемых работодателем непосредственно от сотрудника при приеме его на работу, от других лиц (организаций), а также получаемых (формируемых) самим работодателем в течение трудовой и служебной деятельности сотрудника.

К документам, содержащим персональные данные оценочного характера, относятся служебные характеристики, материалы аттестационных комиссий и др.

Состав персональных данных сотрудников регионального центра определён Перечнем персональных данных сотрудников Центрального регионального центра МЧС России (Приложение N 1). Персональные данные сотрудников относятся к категории конфиденциальной информации.

Региональный центр осуществляет обработку персональных данных своих сотрудников силами и средствами операторов персональных данных, определённых Перечнем операторов персональных данных Центрального регионального центра МЧС России (Приложение N 2).

Деятельность каждого из перечисленных в Перечне подразделения, его сотрудника и иного лица регламентируется соответствующими положением о структурном подразделении (функциональном органе) и должностными инструкциями сотрудника.

Лица, допущенные к обработке персональных данных, в обязательном порядке подписывают Обязательство о неразглашении персональных данных сотрудников, являющееся приложением (дополнительным соглашением) к контракту (Приложение N 3).

В зависимости от целей обработки руководитель Центрального регионального центра МЧС России приказом назначает лицо, ответственное за организацию обработки персональных данных сотрудников.

III. Обязанности и права работодателя при обработке персональных данных сотрудников

1. Общие требования при обработке персональных данных работника и гарантии их защиты.

Обработка персональных данных сотрудника осуществляется работодателем исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества регионального центра.

При определении объема и содержания обрабатываемых персональных данных сотрудника оператор персональных данных должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", иными федеральными законами и настоящим Положением.

До заключения контракта работодатель знакомит сотрудников под роспись с настоящим Положением.

Управление кадров координирует и контролирует деятельность структурных подразделений регионального центра по вопросам обработки персональных данных.

Помощник начальника центра (по безопасности) организует меры по обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации или без таковой, а также осуществляет контроль за состоянием безопасности в объеме своих полномочий в соответствии с законодательством Российской Федерации.

Режим конфиденциальности персональных данных снимается в случае получения согласия сотрудника на их распространение, их обезличивания или по истечении срока их хранения, если иное не определено законом.

Допускается охрана конфиденциальности персональных данных в режиме государственной, служебной тайны, если это обосновано перечнями сведений, составляющих государственную, служебную тайну соответственно.

В целях обеспечения конфиденциальности персональных данных сотрудников порядок их обработки и защиты отражается в соответствующих положениях и должностных инструкциях операторов персональных данных.

Работодатель и его операторы персональных данных, и сотрудники совместно вырабатывают требования по обработке персональных данных сотрудников и меры их защиты.

2. Обязанности работодателя при обработке персональных данных сотрудников.

Получать все персональные данные сотрудника у него самого. Если необходимые персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Письменное согласие должно содержать информацию о целях, предполагаемых источниках и способах получения персональных данных, а также характере подлежащих получению персональных данных.

Вести обработку персональных данных сотрудника только с его письменного согласия (Приложение N 4).

Согласия сотрудника не требуется, если:

обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Работодатель при передаче персональных данных сотрудников третьим лицам (в т.ч. в другие организации) обязан:

сообщать персональные данные сотрудника третьей стороне (включая родственников и членов его семьи), представлять их в различные государственные органы и негосударственные организации* только с письменного согласия работника, а в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в иных случаях, предусмотренных Трудовым кодексом РФ** или иными федеральными законами, без оформления письменного согласия работника;

сообщать персональные данные уволенного сотрудника органам власти, другим организациям только по письменному запросу на бланке органа (организации) с приложением копии заявления (согласия) сотрудника (судебным и правоохранительным органам в случае возбуждения уголовных, административных и гражданских дел - без согласия работника). Ответы на такие запросы даются в письменной форме на бланке регионального центра с учётом пределов компетенции и предоставленных полномочий органа (организации) и в том объеме, который позволяет не разглашать персональные данные других сотрудников регионального центра;

предупреждать лиц, получающих персональные данные сотрудника, о соблюдении режима конфиденциальности, а также о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что эти правила соблюдены;

осуществлять трансграничную передачу персональных данных сотрудников регионального центра только при условии обеспечения адресатом уровня защищенности персональных данных сотрудника не ниже, чем в Российской Федерации;

разъяснять сотруднику последствия его отказа предоставить письменное согласие на получение персональных данных у третьей стороны, на обработку и передачу персональных данных третьим лицам, а также на использование его персональных данных в коммерческих целях.

3. Работодателю запрещается:

требовать от сотрудника предоставления сведений о его моральном облике, характере и особенностях его личной и семейной жизни, его политических, религиозных и иных убеждениях, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами;

обрабатывать персональные данные в целях, не указанных в первом абзаце п. 1 III раздела настоящего Положения;

объединять созданные для несовместимых между собой целей картотеки, базы данных информационных систем персональных данных;

передавать персональные данные сотрудников регионального центра третьим лицам (в т.ч. по телефону, факсу, электронной почте) без письменного согласия сотрудника;

использовать персональные данные сотрудников регионального центра в коммерческих целях без письменного согласия сотрудника.

4. Работодатель имеет право:

требовать при приеме на службу и работу от лица, поступающего на службу и работу, документы в соответствии с Перечнем (Приложение N 1);

получать и обрабатывать персональные данные своих сотрудников в соответствии с действующим законодательством и настоящим Положением;

устанавливать дополнительные требования обработки и защиты персональных данных сотрудников с соблюдением требований Трудового кодекса РФ иных нормативных правовых актов и методических документов ФСТЭК России.

IV. Обязанности операторов персональных данных при обработке персональных данных сотрудников

1. Оператор при передаче персональных данных сотрудников в пределах регионального центра обязан:

предоставлять беспрепятственный доступ и в полном объёме к персональным данным сотрудников регионального центра следующим лицам:

начальнику центра, заместителям начальника центра, помощникам начальника центра;

начальнику управления кадров;

руководителям структурных подразделений (доступ к персональным данным только сотрудников своего подразделения);

предоставлять доступ к персональным данным сотрудников регионального центра по согласованию с помощником (по безопасности) (при наличии визы согласования помощника (по безопасности) на запросе (служебной записке или личном заявлении), поданном на имя оператора):

начальнику юридического отдела;

начальнику финансово-экономического управления - главному бухгалтеру и сотрудникам ФЭУ;

сотрудникам отдела по защите государственной тайны;

остальным сотрудникам регионального центра (только к своим персональным данным);

разрешать заинтересованным лицам копировать и делать выписки из документов, содержащих персональные данные сотрудников, исключительно в служебных целях с письменного разрешения оператора на самом запросе;

ограничивать передаваемую информацию только теми персональными данными сотрудника, которые необходимы для выполнения лицами (подразделениями), запрашивающими информацию, своих должностных обязанностей (функций).

2. Оператор персональных данных сотрудников при их хранении обязан:

хранить персональные данные в форме, позволяющей определить сотрудника, не дольше, чем этого требуют цели их обработки;

уничтожать персональные данные по достижении целей обработки или в случае утраты необходимости в их достижении;

хранить раздельно материальные носители персональных данных, обработка которых осуществляется в различных целях без использования средств автоматизации (при непосредственном участии человека);

хранить материальные носители персональных данных в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа;

передавать работодателю все имеющиеся в пользовании материальные носители информации, содержащие персональные данные сотрудников, в случае прекращения или расторжения контракта;

держать закрытыми в рабочее время помещения, в которых ведется обработка персональных данных сотрудников, при отсутствии в них сотрудников оператора;

обеспечить присутствие своих сотрудников при проведении уборки помещений, в которых ведется обработка персональных данных сотрудников.

V. Обязанности и права сотрудника

1. Сотрудник обязан:

передавать работодателю или его представителю необходимые, достоверные документированные персональные данные в соответствии с Перечнем (Приложение N 1);

в срок, не превышающий 5 дней со дня изменения, сообщать работодателю об изменении своих персональных данных.

в срок, не превышающий 30 дней со дня утраты, обращаться к работодателю для восстановления страхового свидетельства государственного пенсионного страхования;

немедленно сообщать своему непосредственному руководителю сведения об ухудшении состояния своего здоровья в соответствии с условиями коллективного договора.

2. Сотрудник имеет право:

По письменному запросу получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

способы обработки персональных данных, применяемые оператором;

сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

перечень обрабатываемых персональных данных и источник их получения;

сроки обработки персональных данных, в том числе сроки их хранения;

сведения о том, какие юридические последствия для сотрудника может повлечь за собой обработка его персональных данных.

Запрос должен содержать серию и номер паспорта, сведения о дате выдачи паспорта и выдавшем его органе.

Получать копии любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ***. Порядок выдачи копий (выписок) документов, содержащих персональные данные, соответствует порядку выдачи копий документов и выписок из них, определённому Инструкцией по делопроизводству в Центральном региональном центре МЧС России.

Обращаться к работодателю с заявлением об исключении или исправлении неверных или неполных персональных данных (в т.ч. дополнении и изменении персональных данных оценочного характера), а также данных, обработанных с нарушением требований Трудового кодекса РФ, других нормативных правовых актов и настоящего Положения.

Требовать от работодателя извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Защищать свои трудовые права и свободы в области обработки персональных данных всеми способами, не запрещенными законом, в т.ч. обжаловать в суд и Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

Выходить к работодателю с предложением по совершенствованию обработки и защиты персональных данных работников.

VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных сотрудников

Руководитель, разрешающий доступ сотрудника к документу, содержащему персональные данные сотрудника, несет персональную ответственность за данное разрешение.

Сотрудник, получающий для работы носитель, содержащий персональные данные сотрудника, несет персональную ответственность за его сохранность и конфиденциальность информации.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудника, несут в соответствии с федеральными законами ответственность:

дисциплинарную (замечание, выговор, увольнение);

материальную (за ущерб, причинённый другой стороне контракта);

административную (предупреждение или административный штраф);

гражданско-правовую (возмещение причиненного убытка).

Сотрудник, предоставивший работодателю подложные документы или заведомо ложные сведения о себе при поступлении на работу и в рамках заключённого контракта, несет дисциплинарную ответственность, вплоть до увольнения.

______________________________

* Например, налоговые инспекции, правоохранительные органы, органы статистики, органы социального страхования, органы службы занятости, пенсионные фонды, страховые агентства, военные комиссариаты и др.

** Например, в случае несчастного случая на производстве - персональные данные передаются немедленно в соответствующие органы и организации, а также родственникам пострадавшего от несчастного случая (ст. 228 ТК РФ).

*** Например, в силу ограничений в доступе к государственной и иной, охраняемой законом тайне.