Приложение N 2. Положение об обработке и защите персональных данных в администрации Чебаркульского муниципального района. Постановление Администрации Чебаркульского муниципального района Челябинской области от 03.06.2022 N 640 "Об обработке и защите персональных данных в администрации Чебаркульского муниципального района"

Приложение N 2
к Постановлению администрации
Чебаркульского муниципального района
от 3 июня 2022 г. N 640

Положение
об обработке и защите персональных данных в администрации Чебаркульского муниципального района

1. Общие положения

1.1 Настоящее Положение об обработке и защите персональных данных (далее - Положение) в администрации Чебаркульского муниципального района (далее - Администрация) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом "О персональных данных", Федеральным законом "Об информации, информационных технологиях и о защите информации", Федеральным законом "Об организации предоставления государственных и муниципальных услуг", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" для установления порядка приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным сотрудников Администрации и лиц обращающихся в Администрацию.

1.2 Положение призвано исключить возможность утечки и несанкционированного доступа к персональным данным в процессе их накопления, хранения, обработки, передачи и использования за счет:

- установления перечня персональных данных;

- определения порядка обращения информации содержащей персональные данные;

- определения порядка взаимодействия сотрудников Администрации при обеспечении сохранности персональных, а также установления ответственности за разглашение персональных данных.

1.3 Положение определяет порядок обработки персональных данных сотрудников Администрации и иных субъектов персональных данных, персональные данные которых подлежат обработке на основании полномочий Администрации, обеспечивает защиту прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4 Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Администрации, если иное не определено законом.

1.5 Настоящее Положение вступает в силу с момента его утверждения постановлением Администрации и действует бессрочно до замены новым локальным правовым актом аналогичного назначения.

1.6 Настоящее Положение обязательно для исполнения всеми сотрудниками Администрации.

2. Основные понятия и состав персональных данных

2.1 Администрация является оператором персональных данных, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.2 Под субъектами персональных данных подразумеваются следующие лица:

- лица (далее - сотрудники), имеющие трудовые отношения с Администрацией;

- граждане, обратившиеся в Администрацию за получением услуг.

2.3 Обработка персональных данных осуществляется:

- без использования средств автоматизации (на бумажных носителях);

- с использованием средств автоматизации, посредством работы в информационных системах персональных данных (далее - ИСПДн). Перечень ИСПДн утвержден распоряжением Администрации.

2.4 Состав персональных данных, обрабатываемых в Администрации, определяется, утвержденным распоряжением Администрации, Перечнем персональных данных, обрабатываемых в Администрации.

2.5 Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Администрации при его приеме, переводе и увольнении:

2.5.1 Информация, представляемая работником при поступлении на работу в Администрацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку и (или) сведения о трудовой деятельности (статья 66.1 Трудового кодекса Российской Федерации), за исключением случаев, если трудовой договор заключается впервые;

- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;

- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

- документ об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, - при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с Трудовым Кодексом, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию;

- справку о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ, которая выдана в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, - при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с федеральными законами не допускаются лица, подвергнутые административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ, до окончания срока, в течение которого лицо считается подвергнутым административному наказанию.

В отдельных случаях, с учетом специфики работы, Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и Постановлениями Правительства Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.

2.5.2 При оформлении работника в Администрацию, специалистом отдела правового и кадрового обеспечения заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:

- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

- сведения о воинском учете;

- данные о приеме на работу.

В дальнейшем в личную карточку вносятся:

- сведения о переводах на другую работу;

- сведения об аттестации;

- сведения о повышении квалификации;

- сведения о профессиональной переподготовке;

- сведения о наградах (поощрениях), почетных званиях;

- сведения об отпусках;

- сведения о социальных гарантиях;

- сведения о месте жительства и контактных телефонах.

2.5.3 В отделе правового и кадрового обеспечения создаются и хранятся следующие группы документов, содержащие персональные данные работников в единичном или сводном виде:

2.5.3.1 Документы, содержащие персональные данные работников (подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Администрации; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

2.5.3.2 Организационно-распорядительная документация Администрации (должностные инструкции работников, распоряжения Администрации).

2.6 Комплекс документов, сопровождающий процесс обработки обращений граждан.

2.6.1 Информация, представляемая обратившимся гражданам в Администрацию, должна иметь документальную форму. Граждане предъявляют следующие документы:

- паспорт или иной документ, удостоверяющий личность.

3. Сбор, обработка и защита персональных данных

3.1 Порядок получения персональных данных.

3.1.1 Администрация как работодатель вправе обрабатывать персональные данные сотрудников и прочих физических лиц только с их письменного согласия:

а) лица, поступающие на муниципальную службу, должны предоставить следующие согласия:

- согласие работника на обработку персональных данных (приложение 1);

- согласие на обработку персональных данных супруга(и) (приложение 2);

- согласие законного представителя на обработку персональных данных несовершеннолетнего ребенка (приложение 3).

б) лица, поступающие на должности, не относящиеся к должностям муниципальной службы, заполняют согласие работника на обработку персональных данных (приложение 4).

в) лица, поступающие на должность руководителя муниципального учреждения, предоставляют следующие согласия:

- согласие работника на обработку персональных данных (приложение 5);

- согласие на обработку персональных данных супруга(и) (приложение 6);

- согласие законного представителя на обработку персональных данных несовершеннолетнего ребенка (приложение 7);

г) в соответствии с требованиями части 9 статьи 9, статьи 10.1 Федерального закона "О персональных данных", Приказом Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения" лица, персональные данные которых размещаются на официальном сайте Администрации, заполняют согласие работника на распространение персональных данных (приложение 8);

д) лица, не являющиеся сотрудниками Администрации, но участвующие в работе единой комиссии по осуществлению закупок, заполняют согласие на обработку персональных данных (приложение 9).

Специалист отдела правового и кадрового обеспечения Администрации должен сообщить субъекту о целях, перечне персональных данных, перечне действий, на совершение которых дается согласие.

3.1.2 Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

3.1.3 Специалист отдела правового и кадрового обеспечения Администрации должен сообщить субъекту о юридических последствиях отказа предоставить свои персональные данные (приложение 10).

3.1.4 Администрация не имеет права получать и обрабатывать персональные данные сотрудников и прочих физических лиц об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

3.1.5 Согласие субъекта не требуется в следующих случаях:

- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

- обработка персональных данных осуществляется в целях исполнения трудового договора;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.2 Порядок обработки персональных данных.

3.2.1 Субъект предоставляет должностному лицу Администрации достоверные сведения о себе. Должностное лицо проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами.

3.2.2 Глава Чебаркульского муниципального района и сотрудники Администрации при обработке персональных данных сотрудника должны соблюдать следующие общие требования:

3.2.2.1 Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обработки обращений граждан, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2.2 При определении объема и содержания обрабатываемых персональных данных Администрация, как оператор, должна руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, федеральным законом "О персональных данных" и иными федеральными законами.

3.2.2.3 При принятии решений, затрагивающих интересы субъекта, Администрация, как оператор, не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2.2.4 Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Администрацией как оператором за счет своих средств в порядке, установленном федеральным законом.

3.2.2.5 Сотрудники и их представители должны быть ознакомлены под подпись с документами Администрации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.2.2.6 Во всех случаях отказ субъекта от своих прав на сохранение и защиту персональных данных недействителен.

4. Передача и хранение персональных данных

4.1 При передаче персональных данных субъекта Администрация должна соблюдать следующие требования:

4.1.1 Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральным законом.

4.1.2 Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными субъектов в порядке, установленном п.8 ст.14 Федерального закона "О персональных данных".

4.1.3 Осуществлять передачу персональных данных субъектов в пределах Администрации в соответствии с настоящим Положением.

4.1.4 Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретной функции.

4.2 Хранение и использование персональных данных:

4.2.1 Персональные данные субъектов обрабатываются и хранятся в помещениях Администрации и на учтённых машинных носителях информации в соответствии с Инструкцией по учету, хранению, выдаче, уничтожению и ограничению использования машинных носителей информации в Администрации.

4.2.2 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - в локальной компьютерной сети, в компьютерных программах и электронных базах данных.

4.3 При получении персональных данных не от субъекта (за исключением случаев, если персональные данные были предоставлены Администрации на основании федерального закона или если персональные данные являются общедоступными), Администрация до начала обработки таких персональных данных обязано предоставить субъекту следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные федеральным законом "О персональных данных" права субъекта персональных данных.

5. Доступ к персональным данным

5.1 Перечень лиц, имеющих право доступа к персональным данным, определяется Списком лиц, допущенных к персональным данным, обрабатываемым в информационных системах в Администрации.

5.2 Субъект персональных данных, чьи персональные данные обрабатываются в информационной системе Администрации имеет право:

5.2.1 Получать от Администрации посредством письменного запроса (приложение 11):

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- применяемые способы обработки персональных данных;

- какие лица имеют доступ или могут получить доступ к персональным данным;

- перечень обрабатываемых персональных данных и источник их получения;

- срок хранения персональных данных;

- осуществлялась ли трансграничная передача персональных данных, а, если нет, то предполагается ли такая передача.

5.2.2 Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные этого субъекта.

5.2.3 Требовать от Администрации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для оператора персональных данных.

5.2.4 Требовать извещения Администрацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2.5 Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения руководителя отдела правового и кадрового обеспечения.

5.3 Передача информации третьей стороне возможна только при письменном согласии субъектов.

6. Обязанности сотрудников, имеющих доступ к персональным данным

6.1 Сотрудники Администрации и другие лица, имеющие доступ к персональным данным, обязаны:

- осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, а также в соответствии с федеральными, региональными, муниципальными нормативно-правовыми актами;

- обеспечивать конфиденциальность операций с персональными данными;

- обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения;

- информировать руководителя структурного подразделения, Главу Администрации о нештатных ситуациях, связанных с обработкой персональных данных.

7. Права сотрудников в части осуществления операций с персональными данными

7.1 Сотрудник Администрации, передавший своей организации личные персональные данные, имеет право:

- на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;

- на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;

- требовать от Администрации дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам работника, осуществляются незаконно, а также в случае, если персональные данные недостоверны;

- получать от Администрации информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;

- получать от Администрации информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе Администрации.

7.2 Работники Администрации, имеющие доступ к персональным данным сотрудников Администрации, имеют право:

- на получение полномочий, необходимых в целях осуществления операций с персональными данными;

- на предоставление консультационной поддержки со стороны руководства и других компетентных сотрудников в части осуществления операций с персональными данными.

8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

8.1 Сотрудники Администрации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

8.2 Глава Чебаркульского муниципального района несет административную ответственность, согласно ст. 5.27 и 5.39 Кодекса Российской Федерации об административных правонарушениях, за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.

Инженер по информационной безопасности

Е.Н. Ноздрина