Приложение N 1. Положение об организации обработки и защиты персональных данных работников управы муниципального района "Барятинский район". Постановление Управы Барятинского района Калужской области от 26.04.2016 N 230 "Об организации обработки и защиты персональных данных работников Управы муниципального района "Барятинский район"

Приложение N 1
к постановлению
Управы
муниципального района
"Барятинский район"

Положение
об организации обработки и защиты персональных данных работников управы муниципального района "Барятинский район"

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных работников Управы муниципального района "Барятинский район" (далее - Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом "Об информации, информационных технологиях и о защите информации" N 149-ФЗ от 27.07.2006, Федеральным законом "О персональных данных" N 152-ФЗ от 27.07.2006, постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", приказом ФСТЭК от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Правилами внутреннего распорядка Управы МР "Барятинский район".

1.2. Целью Положения является защита персональных данных работников Управы муниципального района "Барятинский район" (далее - работник) от несанкционированного доступа, неправомерного их использования или утраты.

1.3. Положение определяет порядок работы (получение, обработка, использование, хранение и т.д.) с персональными данными работников и гарантии конфиденциальности сведений, предоставляемых работником в Управе муниципального района "Барятинский район" (далее - работодатель).

2. Понятие и состав персональных данных

2.1. Персональные данные работника - любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая работодателю в связи с трудовыми отношениями.

2.2. К персональным данным работника относятся:

- фамилия, имя, отчество;

- год, месяц, число и место рождения;

- паспортные данные;

- образование, наличие специальных знаний или подготовки:

- место жительства, почтовый адрес, телефон работника;

- сведения о составе семьи;

- сведения об общем и трудовом стаже; - сведения о воинском учете;

- сведения о предыдущем месте работы;

- сведения о заработной плате работника;

- данные медицинского характера в случаях, предусмотренных законодательством;

- данные, содержащиеся в трудовой книжке работника и его личном деле, страховом свидетельстве государственного пенсионного страхования;

- содержание справки о доходах и имуществе работника, его супруга (супруга) и несовершеннолетних детей;

- адрес личной электронной почты;

- сведения о социальных льготах;

- содержание трудового договора;

- анкета;

- автобиография;

- наличие судимостей;

- иные сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получить и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.

2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

3. Порядок сбора, обработки, хранения, передачи и защиты персональных данных

3.1. Все персональные данные работника работодатель получает у него самого. В случае, когда необходимые персональные данные работника возможно получил, только у третьего лица, работодатель должен уведомить об этом работника и получить от него письменное согласие. Форма заявление о согласии на получение, обработку и передачу персональных данных от третьих лиц приведена в приложении N 1 к настоящему Положению.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждений и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.3. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными работника, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника.

3.4. Обработка персональных данных работника должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обработка персональных данных работника, не совместимая с целями сбора персональных данных работника, не допускается. Обрабатываемые персональные данные работника не должны быть избыточными по отношению к заявленным целям их обработки.

3.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных работника, если срок хранения персональных данных работника не установлен действующим законодательством.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию но достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

3.6. Персональные данные работника хранятся в отделе организационно - контрольной и архивной работы и взаимодействия с поселениями, в личном деле работника. Личные дела хранятся в бумажном виде в папках и находятся в сейфе.

Персональные данные работника могут также храниться в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работника, обеспечивается системой паролей.

Хранение персональных данных работников в структурных отделах работодателя, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке, исключающем к ним доступ третьих лиц.

3.7. Работодатель вправе обрабатывать персональные данные работника только с его письменного согласия (приложение N 2).

3.8. Письменное согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных работника вправе дать представитель работника в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ.

В случае получения согласия на обработку персональных данных от представителя работника полномочия данного представителя на дачу согласия от имени работника проверяются работодателем.

3.9. Работник вправе отозвать согласие на обработку его персональных данных (Приложение N 3).

В случае отзыва работником согласия на обработку персональных данных работодатель вправе продолжить обработку персональных данных без согласия работника при наличии следующих оснований:

- обработка персональных данных работника необходима для осуществления правосудия, исполнения судебного акта, акт другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных работника необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации работника на едином портале государственных и муниципальных услуг;

- обработка персональных данных работника необходима в целях исполнения трудового договора;

- обработка персональных данных работника необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно;

- обработка персональных данных работника в иных случаях, установленных действующим законодательством РФ.

3.10. Допускается получение согласия на обработку персональных данных работника в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью.

3.11. Работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3.12. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Федеральным законом;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые необходимы дня выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключенном тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.12. В случае возникновения необходимости передачи персональных данных сотрудников Управы МР "Барятинский район" района третьим лицам и их последующую обработку необходимо получить письменное согласие субъекта персональных данных. Форма заявления о согласии субъекта на передачу персональных данных третьим лицам и последующую обработку полученных персональных данных приведена в (Приложении N 4 к настоящему) Положению.

3.13. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

3.14. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Управы и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках.

3.15. Передача информации, содержащей сведения о персональных данных работников, по телефону, факсу, электронной почте без письменного согласия работника запрещается.

3.16. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

3.17. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

4. Права и обязанности работника в области защиты его персональных данных

4.1. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

а) получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных работодателем;

- правовые основания и цели обработки персональных данных;

- способы обработки персональных данных;

- обрабатываемые персональные данные, относящиеся к соответствующему работнику, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- иные сведения, предусмотренные законодательством РФ;

б) получать свободный бесплатный доступ к своим персональным данным;

в) требовать исключения или исправления неверных или неполных персональных данных;

г) требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях и дополнениях;

д) обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных;

е) на сохранение и защиту своей личной и семейной тайны.

4.2. При отказе работодателя исключить или исправить персональные данные работника тот имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

4.3. Работник для сохранения полной и точной информации о нем обязан:

а) передавать работодателю или его представителю комплекс достоверных персональных данных;

б) своевременно сообщать работодателю об изменении своих персональных данных.

5. Обязанности работодателя в области защиты персональных данных работника

5.1. В целях обеспечения прав и свобод человека и гражданина работодатель и ею представители при обработке персональных данных работника обязаны соблюдать следующие требования:

5.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

5.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

5.1.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.

5.1.4. Работодатель и его представители, которым в соответствии с настоящим Положением и должностными инструкциями предоставлен доступ к персональным данным, не имеют права разглашать информацию, содержащую персональные данные (Приложение N 5).

5.1.5. Сотрудник Управы муниципального района "Барятинский район" осуществляющий обработку персональных данных в случае расторжения с ним трудового договора обязан прекратить обработку персональных данных, ставших известными в связи с исполнением должностных обязанностей. Форма обязательства сотрудника Управы о прекращении обработки персональных данных приведена в (Приложении N 6).

5.1.6. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств и в порядке, установленном Федеральным законом.

5.1.7. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

6. Доступ к персональным данным работника

6.1. Право доступа к персональным данным работников имеют:

- Руководитель Управы муниципального района "Барятинский район";

- начальники и заведующие отделами Управы муниципального района "Барятинский район" (доступ к персональным данным только сотрудников своего отдела);

- муниципальные служащие в соответствии с должностными инструкциями.

Уполномоченные лица имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные работники имеют право на полную информацию только об их персональных данных и обработке этих данных.

6.2. К лицам, которым при необходимости передаются персональные данные вне Управы муниципального района "Барятинский район" при условии соблюдения требований законодательства, относятся:

- налоговые инспекции;

- правоохранительные органы;

- военкоматы;

- органы статистики;

- страховые агентства;

- органы социального страхования;

- пенсионные фонды.

Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.

6.3. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

6.4. Работник, о котором запрашиваются сведения, уведомляется о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1. Лица, виновные в нарушении режима защиты, обработки и порядка использовании персональных данных работника, несут предусмотренную законодательством Российской Федерации ответственность.

7.2. Каждый работник Управы, получающий для работы персональные данные другого работника, несет личную ответственность за конфиденциальность информации.

7.3. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.

7.4. Нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если зги деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения, влекут привлечение виновного к ответственности в соответствии с Уголовным кодексом Российской Федерации.

8. Порядок уничтожения, блокирования, изменения персональных данных

8.1. Уничтожение персональных данных производится при наступлении обстоятельств или достижения цели обработки персональных данных, с которыми закон, а также настоящее Положение связывает необходимость их уничтожения, если иное не предусмотрено соглашением между администрацией района и субъектом персональных данных. Уничтожение документов, содержащих персональные данные, производится путем их физического уничтожения (сжигание, измельчение и т.п.).

8.2. Блокирование персональных данных осуществляется на основании письменного заявления субъекта или в случаях, установленных законом. В заявлении о блокировании персональных данных субъект обязан указать, на какой срок и какие его персональные данные необходимо блокировать. По получении указанного заявления субъекта Управа муниципального района "Барятинский район" блокирует персональные данные в срок, указанный в заявлении.

8.3. Изменение персональных данных производится в случае поступления заявления субъекта об изменении своих персональных данных, либо в случае получения сведений об изменении персональных данных субъекта от третьих лиц в порядке и на условиях, предусмотренных действующим законодательством.

Внесение изменений в персональные данные субъекта производится путем внесения таких изменений в документы, в том числе информационную базу, содержащую персональные данные субъекта.