Приложение. Положение о защите персональных данных работников администрации Атюрьевского муниципального района. Решение Совета депутатов Атюрьевского муниципального района Республики Мордовия от 18.11.2016 N 22 "Об утверждении Положения "О защите персональных данных работников Администрации Атюрьевского муниципального района"

Приложение
к решению Совета депутатов
Атюрьевского муниципального района
от 18 ноября 2016 г. N 22

Положение
о защите персональных данных работников администрации Атюрьевского муниципального района

Настоящее положение разработано с целью защиты информации, относящейся к частной жизни работников администрации Атюрьевского муниципального района (далее - Администрация), в соответствии с принципами, установленными статьей 24 Конституции Российской Федерации, на основе положений главы 14 Трудового кодекса Российской Федерации (далее - ТК РФ), Федерального закона от 27.07.2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27.07.2006 года N 152-ФЗ "О персональных данных".

1. Основные понятия

1.1. Персональные данные работника - любая информация, относящаяся к работнику Администрации (субъекту персональных данных), необходимая Администрации в связи с трудовыми отношениями.

1.2. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

1.3. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными работников Администрации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4. К личным данным работника, получаемым Администрацией и подлежащим хранению в Администрации в порядке, предусмотренном законодательством РФ и настоящим положением, в частности, относятся личные дела работников, содержащие:

- копию паспорта работника (страницы с данными о фамилии, имени, отчестве, дате и месте выдачи паспорта, регистрации по месту жительства, регистрации брака и наличии детей);

- копию свидетельства обязательного пенсионного страхования;

- копию свидетельства о присвоении идентификационного номера налогоплательщика (далее - ИНН);

- копию военного билета (для военнообязанных);

- копию документа об образовании, повышении квалификации, переквалификации и т.п.;

- копии наградных листов, выписки из документов о присвоении почетных званий и т.п.;

- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе - автобиография);

- сведения о семейном положении работника, перемене им фамилии, наличии детей, иждивенцев (копии свидетельства о браке, о рождении и т.п.);

- медицинские заключения, предъявляемые работником по прохождению обязательных предварительных и периодических медицинских осмотров;

- характеристики и рекомендации с предыдущих мест работы.

Также в личном деле работников подлежат хранению документы (копии документов), образовавшиеся в процессе документального оформления трудовых отношений с работниками:

- трудовой договор;

- копии приказов о приеме, переводах, увольнении, изменении заработной платы, премировании, поощрениях и взысканиях;

- личная карточка, составленная по форме N Т-2;

- заявления работника, связанные с его работой в Администрации, объяснительные;

- документы о прохождении работником аттестации;

- иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для корректного оформления трудовых правоотношений.

Трудовые книжки работников хранятся в сейфе, доступ к которому имеют только руководитель аппарата Администрации, начальник организационного отдела Администрации, главный специалист организационного отдела, ответственный за учет, ведение и хранение трудовых книжек. До момента увольнения трудовые книжки работникам на руки не выдаются. При наличии заявления работника ему выдается заверенная организацией копия его трудовой книжки.

2. Основные условия проведения обработки персональных данных работников

2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

При обработке персональных данных Администрация исходит из следующих принципов:

1) обработка персональных данных имеет место на законной и справедливой основе;

2) обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только персональные данные, которые отвечают целям их обработки;

5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

6) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Администрация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

2.2. Все персональные данные работника получаются у него самого. Заключая трудовой договор с Администрацией, работник тем самым дает согласие на предоставление и обработку своих персональных данных. Если персональные данные работника можно получить только у третьей стороны, то такие данные получаются Администрацией при обязательном предварительном получении письменного согласия работника. При получении указанного согласия Администрация сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

2.3. Администрация не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

2.4. Администрация не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

2.5. Администрация не имеет права получать и обрабатывать персональные данные работника о его расовой и национальной принадлежности, интимной жизни, религиозной принадлежности и философских взглядах, кроме случаев, прямо предусмотренных законодательством РФ (статья 10 Федерального закона "О персональных данных").

2.6. Администрация не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами;

2.7. Работники и их представители должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, в том числе - с настоящим положением. Ознакомление производится путем проставления подписи работника в листе ознакомления, являющемся неотъемлемой частью настоящего положения, рядом с наименованием его должности и указанием даты ознакомления. Работники и их представители не должны уклоняться от ознакомления с настоящим положением.

2.8. При поступлении на работу в Администрацию работники дают письменное согласие на обработку их персональных данных. Образец согласия приведен в приложении N 1 к настоящему положению.

2.9. Обработка персональных данных соискателей на замещение вакантных должностей в рамках отношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу. Образец согласия приведен в приложении N 2 к настоящему положению.

В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, о муниципальной службе, где срок хранения персональных данных соискателя определен в течение трех лет.

3. Хранение и использование персональных данных работников

3.1. Порядок хранения и использования персональных данных работников устанавливается настоящим положением и разработан с соблюдением требований законодательства РФ.

3.2. Сведения о работниках хранятся на бумажных и электронных носителях, в кабинете организационного отдела. Администрация как работодатель и все работники, имеющие доступ к персональным данным работников Администрации, обязаны соблюдать правила обработки персональных данных работников и обеспечивать ограничение доступа к персональным данным работников лицам, не уполномоченным законом либо Администрацией для получения соответствующих сведений.

3.3. Доступ к персональным данным работников без получения специального разрешения имеют работники, занимающие следующие должности в Администрации:

- глава Атюрьевского муниципального района;

- заместители главы - при необходимости;

- начальник отдела бухгалтерии;

- руководитель аппарата;

- главный специалист организационного отдела, в должностные обязанности которого входит получение персональных данных работников;

- начальник юридического отдела - при необходимости.

При получении сведений, составляющих персональные данные работника, указанные лица имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

При приеме на работу такие работники дают обязательство не разглашать персональные данные работников Администрации, которые стали известны таким работникам в связи с исполнением ими трудовых обязанностей.

3.4. При хранении персональных данных Администрация исходит из того, что оно должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5. Хранение биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

3.6. При обработке персональных данных работников в информационных системах Администрация руководствуется Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 года N 1119. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены приказом ФСТЭК России от 18.02.2013 года N 21.

4. Передача персональных данных работника

При передаче персональных данных работника Администрацией должны соблюдаться следующие требования:

- запрещается сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

- запрещается сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- работник, передающий персональные данные работника Администрации, обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения соблюдения этого правила. Лица, получающие персональные данные работника Администрации, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

- запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- работник, передающий персональные данные работника Администрации, имеет право передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

5. Права работников в целях обеспечения защиты персональных данных, хранящихся в Администрации

В целях обеспечения защиты персональных данных, хранящихся в Администрации, работники имеют право:

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. За исключением случаев, предусмотренных законодательством РФ, получение указанной информации работниками в отношении своих персональных данных возможно при личном обращении работника в организационный отдел или бухгалтерию Администрации. Выписки из личного дела работника, приказов и иных документов, связанных с работой, выдаются работнику на основании его письменного заявления в течение трех дней с момента подачи заявления;

- на определение своих представителей для защиты своих персональных данных. Представители работников избираются из состава профсоюзной организации работников Администрации либо из числа работников Администрации, не являющихся членами соответствующей профсоюзной организации. Избрание представителей работников происходит на общем собрании членов трудового коллектива работников Администрации. Общее собрание членов трудового коллектива работников Администрации правомочно, если на нем присутствовало более половины списочного состава работников Администрации;

- на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;

- на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ. При обнаружении неверных, неполных, а равно полученных с нарушением ТК РФ персональных данных работник должен обратиться с соответствующим заявлением на имя главы Атюрьевского муниципального района об исправлении (исключении) подобных сведений. При отказе Администрации исключить или исправить персональные данные работника он имеет право заявить в письменной форме Администрации о своем несогласии с предоставленным ему обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- на требование об извещении Администрации всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- на обжалование в суд любых неправомерных действий или бездействия Администрации при обработке и защите их персональных данных.

6. Обязанности работника в целях обеспечения достоверности его персональных данных

В целях обеспечения достоверности персональных данных работников работники обязаны:

- при приеме на работу предоставлять Администрации достоверные сведения о себе в порядке и объеме, предусмотренном законодательством РФ;

- в случае изменения сведений, составляющих персональные данные работника (фамилии, имени, отчества, адреса, паспортных данных, сведений об образовании, состоянии здоровья (при выявлении в соответствии с медицинским заключением противопоказаний для выполнения работником работы, обусловленной трудовым договором) и т.п.), сообщать об этом главному специалисту Администрации в течение пяти рабочих дней с даты этих изменений. В этом случае работник обязан предъявить подлинный экземпляр документа с измененными сведениями, с которого в отделе кадров будет снята копия, хранение которой будет осуществляться в соответствии с настоящим положением.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников

Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудового кодекса РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

8. Заключительные положения

8.1. Настоящее положение разработано в соответствии с законодательством РФ. В случае изменения норм законодательства РФ об охране персональных данных работников настоящее положение должно быть приведено в соответствие с действующим законодательством в течение недели с даты вступления в силу таких изменений.