Приложение 2. Положение о защите персональных данных работников Администрации Сараевского муниципального района. Постановление Администрации муниципального образования - Сараевский муниципальный район Рязанской области от 28.01.2020 N 64 "Об утверждении положений о защите персональных данных в администрации муниципального образования - Сараевский муниципальный район Рязанской области"

Приложение 2
К постановлению
администрации
муниципального образования -
Сараевский муниципальный район
Рязанской области
N 64 от 28.01.2020 года

Положение
о защите персональных данных работников Администрации Сараевского муниципального района

1. Общие положения

1.1. Настоящие Положение о защите персональных данных работников (далее - Положение) определяет порядок получения, хранения, комбинирования, передачи и любого другого использования персональных данных работников Администрации Сараевского муниципального района (далее - Организация или Работодатель), а также ведения их личных дел в соответствии с трудовым законодательством Российской Федерации.

1.2. Настоящее Положение разработано в соответствии с:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями и дополнениями);

- Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральным законом от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" (с изменениями и дополнениями);

- Федеральным законом от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации" (с изменениями и дополнениями);

- Закон Российской Федерации от 21 июля 1993 г. N "О государственной тайне" (редакция от 18 июля 2009 г.);

- Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06 марта 1997 г. N 188 (с изменениями и дополнениями).

1.3. В настоящем Положении используются следующие основные понятия:

Персональные данные работника - любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных).

Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных работника - действия, направленные на раскрытие персональных данных неопределённому лицу.

Использование персональных данных работника - действия с персональными данными, совершаемые работниками Администрации Сараевского муниципального района, иными уполномоченными лицами в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Защита персональных данных - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном работнике, полученной Работодателем в связи с трудовыми отношениями.

2. Сбор, обработка и защита персональных данных работника

2.1. Персональные данные работника относятся к конфиденциальной информации, то есть порядок работы с ними регламентирован трудовым законодательством Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и осуществляется с соблюдением строго определенных правил и условий. Данные требования установлены статьей 86 Трудового кодекса Российской Федерации и не подлежат изменению, исключению, так как являются обязательными для сторон трудовых отношений.

2.2. В целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие требования:

2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Работодателя, работников и третьих лиц.

2.2.2. При определении объема и содержания обрабатываемых персональных данных работника Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и иными федеральными законами.

2.2.3. Все персональные данные работника следует получать лично у работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса на прежнее место работы работника в целях выяснения его профессиональных качеств, запроса в учебное заведение о подлинности документа об образовании и т.п.) и последствиях отказа работника дать письменное согласие на их получение.

2.2.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

2.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

2.2.6. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронно.

2.3. При поступлении на работу работник предоставляет персональные данные о себе в документированной форм, а именно:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку, за исключением случаев, когда служебный контракт заключается впервые или работник поступает на работу на условиях совместительства;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

- документ об образовании, о присвоении ученой степени, ученого звания, о квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки;

- документы, необходимые для оформления допуска к государственной тайне в соответствии с требованиями Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне".

- в отдельных случаях с учетом специфики работы в соответствии с действующим законодательством Российской Федерации может предусматриваться необходимость предъявления при заключении служебного контракта дополнительных документов, например, на работах, связанных с движением транспорта.

2.4. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

2.5. При заключении служебного контракта и в ходе трудовой деятельности может возникнуть необходимость о предоставлении работником документов:

- о возрасте детей;

- о беременности женщины;

- об инвалидности;

- о донорстве;

- о составе семьи, изменении семейного положения;

- о доходе с предыдущего места работы;

- о необходимости ухода за больным членом семьи;

- прочие.

2.6. После того, как будет принято решение о приеме работника на работу, а также впоследствии в процессе трудовой деятельности к документам, содержащим персональные данные работника, также будут относиться:

- служебный контракт и приказ о приеме работника на работу;

- приказы о поощрениях и взысканиях;

- дополнительные соглашения к служебному контракту и приказы об изменении условий служебного контракта;

- карточка унифицированной формы Т-2, утвержденная постановлением Госкомстата России от 05.01.2004 г. N 1;

- другие документы.

2.7. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.

2.8. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Работодателем за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации, иными федеральными законами.

2.9. Работники, их представители должны быть ознакомлены под роспись с документами Организации, устанавливающими порядок обработки персональных данных работников, а также осведомлены об их правах и обязанностях в этой области.

2.10. Работники не должны отказываться от прав на сохранение и защиту своих персональных данных. Если в служебном контракте будет содержаться норма об отказе работника от этого права, то в этой части служебный контракт будет считаться недействительным.

2.11. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

3. Хранение персональных данных работника

3.1. Персональные данные работника содержатся на бумажных носителях, в том числе в основном документе персонального учета работников - личном деле работника, в которое могут входить следующие документы:

- анкетно-биографические и характеризующие материалы, к которым относятся: анкета, автобиография (при необходимости), копии документов об образовании, результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (в случаях, предусмотренных трудовым законодательством), заявление работника о приеме на работу, копия приказа о приеме на работу, служебный контракт, документы, связанные с переводом и перемещением работника (копии приказов, заявления работника и т.п.), выписки (копии) из документов о присвоении почетных званий, ученой степени, награждении государственными наградами, копии наградных листов, аттестационные листы, копии приказов о поощрениях, взысканиях, характеристики и рекомендательные письма, заявление работника об увольнении, копия приказа об увольнении и расторжении служебного контракта, другие документы, нахождение которых в личном деле будет признано целесообразным;

- дополнительные материалы, к которым относятся: характеристики с прежнего места работы, фотографии, дополнение к личному делу - документ, в котором фиксируются сведения о перемещении работника по работе, другие документы, нахождение которых в личном деле будет признано целесообразным.

3.2. В личное дело работника включается также опись всех документов, находящихся в деле.

3.3. В случае временного изъятия документа вместо него вкладывается лист-заменитель. Изъятие документов из личного дела производится исключительно с разрешения руководителя Организации.

3.4. Сведения о работниках Организации на бумажных носителях хранятся в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о работниках Организации, находятся у управляющего делами администрации муниципального образования - Сараевский муниципальный район Рязанской области. Личные дела уволенных работников хранятся в специально оборудованных шкафах и сейфах.

3.5. Конкретные обязанности по хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек (дубликатов трудовых книжек), иных документов, отражающих персональные данные работников, возлагаются на управляющего делами администрации муниципального образования - Сараевский муниципальный район Рязанской области и закрепляются в должностных инструкциях.

3.6. Информация, содержащая персональные данные работника, может также обрабатываться с использованием автоматизированных систем обработки данных. В этом случае должны выполняться требования и рекомендации нормативно-методических документов уполномоченных регулирующих органов Российской Федерации по обеспечению защиты персональных данных в информационных системах персональных данных, обрабатываемых с использованием средств автоматизации. Съемные электронные носители, на которых хранятся персональные данные работников, должны быть отмаркированы и учтены в соответствующем журнале.

3.7. Работодатель обеспечивает ограничение доступа к персональным данным работников лицам, не уполномоченным законодательством Российской Федерации либо Работодателем для получения соответствующих сведений.

3.8. Доступ к персональным данным работников без специального разрешения руководителя организации имеют работники, указанные в Приложении N 1.1 к настоящему Положению.

3.9. При получении сведений, составляющих персональные данные работника, указанные лица имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций и заданий.

3.10. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных в виде справочников. В справочники могут включаться на основании настоящего Положения следующие персональные данные: фамилия, имя, отчество, день, месяц и год рождения, номер рабочего телефона (в том числе мобильного), занимаемая должность.

3.11. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию работника.

3.12. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

3.13. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

3.14. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

3.15. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3.16. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.17. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.18. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

4. Передача персональных данных работника

4.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных Трудовым кодексом Российской Федерации или другими федеральными законами.

4.1.1.1. Учитывая, что Трудовой кодекс Российской Федерации не определяет критерии ситуаций, представляющих угрозу жизни и здоровью работника, Работодатель в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы.

4.1.1.2. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника, либо отсутствует письменное согласие работника на предоставление его персональных данных, либо, по мнению Работодателя, отсутствует угроза жизни и здоровью работника, Работодатель обязан отказать в предоставлении персональных данных, лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

4.1.1.3. Письменное согласие работника на передачу Работодателем своих персональных данных третьей стороне должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.

Предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

4.1.3. Осуществлять передачу данных работника в пределах Организации в соответствии с настоящим Положением.

4.1.4. Разрешать доступ к персональным данным работника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

4.1.5. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции, (например, допустимо обращение за информацией о состоянии здоровья беременной женщины при решении вопроса ее перевода на другую работу).

4.1.6. Передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом, иными федеральными законами и настоящим Положением, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

4.2. Данные требования установлены статьей 88 Трудового кодекса Российской Федерации и не подлежат изменению, исключению, так как являются обязательными для сторон трудовых отношений.

5. Обязанности работника и работодателя

5.1. В целях обеспечения достоверности персональных данных работник обязан:

5.1.1. При приеме на работу предоставить Работодателю полные и достоверные данные о себе.

5.1.2. В случае изменения сведений, составляющих персональные данные работника, незамедлительно предоставить данную информацию Работодателю.

5.2. Работодатель обязан:

5.2.1. Осуществлять защиту персональных данных работника.

5.2.2. Осуществлять заполнение документации, содержащей персональные данные работника, в соответствии с унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными Постановлением Госкомстата России от 05.01.04 г. N 1.

5.2.3. Выдавать работнику по его письменному заявлению, не позднее трех дней со дня подачи этого заявления, копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки или копии трудовой книжки; справки о заработной плате, периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.

5.2.4. Вести учет передачи персональных данных работника третьим лицам путем ведения соответствующего журнала, отражающего сведения о поступившем запросе (кто является отправителем запроса, дата поступления запроса), дату ответа на запрос, когда именно информация была передана либо отметку об отказе в ее предоставлении, либо ограничиваться помещением в личное дело работника выписок, копий документов, отражающих сведения о поступившем запросе и результатах его рассмотрения.

5.2.5. Включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица в целях обеспечения сохранности документов по личному составу увольняемых работников в случае реорганизации или ликвидации Организации, а также социальной защищенности граждан, выполняющих работу по служебному контракту (Распоряжение Правительства Российской Федерации от 21.03.1994 N 358-р "Об обеспечении сохранности документов по личному составу"). В случае реорганизации или ликвидации Организации учет и сохранность документов по личному составу, порядок передачи их на государственное хранение осуществлять в порядке, установленном действующим законодательством Российской Федерации и в соответствии с Уставом Организации.

5.2.6. Лица, получающие персональные данные субъекта ПДн, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами Российской Федерации.

6. Права работника

6.1. В целях обеспечения защиты персональных данных, хранящихся у Работодателя, работники имеют право:

6.1.1. На полную информацию о своих персональных данных и методах их обработки, в частности, Работник имеет право знать перечень обрабатываемых персональных данных, кто и в каких целях использует или использовал его персональные данные.

6.1.2. На свободный запрос и бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

6.1.3. На определение представителей для защиты своих персональных данных.

6.1.4. Требовать исключения или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации и Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". При отказе Работодателя исключить или исправить персональные данные работник имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением выражающим его собственную точку зрения.

6.1.5. Требование об извещении Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

6.1.6. Обжалование в судебном порядке любых неправомерных действий или бездействии Работодателя при обработке и защите его персональных данных.

7. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

7.2. Неправомерный отказ Работодателя исключить или исправить персональные данные работника, а также любое иное нарушение прав работника на защиту персональных данных влечет возникновение у работника права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.

7.3. За неисполнение возложенных на участников соответствующих правоотношений в области обработки персональных данных последние могут быть привлечены к следующим видам ответственности: административной, гражданско-правовой (ст. 13.11 КоАП РФ, п. 1 ст. 13.12 КоАП РФ, п. 2 13.12 КоАП РФ, п. 5 ст. 13.12 КоАП РФ, п. 1 ст. 13.13 КоАП РФ, ст. 13.14 КоАП РФ), уголовной (ст. 183 УК РФ, ст. 140 УК РФ) и дисциплинарной (ст. 192 ТК РФ).