Приложение к Постановлению от 14.03.2013 г № 86 Положение
Положение о персональных данных в администрации города Оленегорска 1. общие положения
1.1.Положение о защите персональных данных в администрации города Оленегорска (далее - Положение) определяет порядок получения, хранения, комбинирования, передачи и любого другого использования персональных данных лица, замещающего муниципальную должность, муниципальных служащих и работников, осуществляющих свою деятельность по общеотраслевым должностям и по общеотраслевым профессиям рабочих администрации города Оленегорска (далее - субъекты персональных данных), в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений, предоставленных работником работодателю.
1.2.Целью настоящего Положения является защита персональных данных субъектов персональных данных от несанкционированного доступа и разглашения. Персональные данные являются конфиденциальной, строго охраняемой информацией.
1.3.Администрация города Оленегорска является оператором, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.4.Оператор обеспечивает защиту персональных данных субъектов персональных данных, содержащихся в их личных делах, от неправомерного их использования или утраты.
1.5.Список лиц, имеющих право доступа к персональным данным субъекта персональных данных, оформляется распоряжением администрации города Оленегорска.
1.6.Изменения в Положение вносятся оператором в установленном действующим законодательством порядке.
1.7.Сведения о персональных данных субъектов персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну). Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных федеральными законами.
2.Понятия и состав персональных данных
2.1.Персональные данные - любая информация, необходимая оператору в связи с трудовыми отношениями, относящаяся прямо или косвенно к определенному или определяемому субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, а также сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность, и используемая оператором, в частности, в целях выполнения требований:
- трудового законодательства при приеме на работу и заключении трудового договора, в процессе трудовых отношений, при предоставлении гарантий и компенсаций и др.;
- налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц;
- пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
- заполнения первичной статистической документации.
2.2.Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3.Конфиденциальность персональных данных - обязательное для соблюдения лицом, получившим доступ к персональным данным субъекта персональных данных, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.4.Защита персональных данных субъекта персональных данных - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных, полученной оператором в связи с трудовыми отношениями.
2.5.К персональным данным относятся:
- сведения, содержащиеся в документах, удостоверяющих личность;
- информация, содержащаяся в трудовой книжке;
- информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;
- сведения, содержащиеся в документах воинского учета (при их наличии);
- сведения об образовании, квалификации или наличии специальных знаний или подготовки;
- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
- сведения о доходах, об имуществе и обязательствах имущественного характера муниципального служащего, его супруги (супруга) и несовершеннолетних детей;
- информация о семейном положении субъекта персональных данных и членах его семьи;
- данные о месте жительства, почтовый адрес, телефон субъекта персональных данных, а также членов его семьи;
- сведения о доходах с предыдущего места работы для предоставления субъекту персональных данных определенных льгот и компенсаций в соответствии с налоговым законодательством;
- иные персональные данные, при определении объема и содержания которых оператор руководствуется настоящим Положением и законодательством Российской Федерации.
2.6.К документам, содержащим информацию персонального характера, относятся:
- анкетные данные, заполненные субъектом персональных данных при поступлении на работу или в процессе работы (в том числе - автобиография, сведения о семейном положении субъекта персональных данных, перемене фамилии, данные о членах семьи субъекта персональных данных);
- личная карточка по форме Т-2;
- трудовые договоры с субъектом персональных данных, дополнительные соглашения к трудовым договорам, договоры о материальной ответственности с субъектом персональных данных;
- распорядительные документы по личному составу (подлинники и копии);
- основания к распоряжениям Главы города Оленегорска по личному составу;
- документы по оценке деловых и профессиональных качеств субъекта персональных данных при приеме на работу;
- документы, отражающие деятельность конкурсных и аттестационных комиссий;
- документы о результатах служебных расследований;
- заявления, объяснительные и служебные записки субъекта персональных данных;
- документы бухгалтерского учета, содержащие информацию о расчетах с персоналом;
- документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены гражданином при приеме на работу при заключении трудового договора или субъектом персональных данных в период его действия (например, медицинские заключения, предъявляемые при прохождении обязательных предварительных и периодических медицинских осмотров);
- документы о прохождении субъектом персональных данных аттестации, собеседования, повышения квалификации;
- иные документы, содержащие сведения о субъекте персональных данных, нахождение которых в личном деле субъекта персональных данных необходимо для корректного документального оформления трудовых правоотношений работодателя с субъектом персональных данных.
3.Основные условия проведения обработки
персональных данных субъектов персональных данных
Обработка персональных данных субъекта персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам персональных данных в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъектов персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.1.При обработке и передаче персональных данных лица, уполномоченные на обработку персональных данных, обязаны соблюдать следующие требования:
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- персональные данные следует получать лично у субъекта персональных данных. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъект персональных данных заранее, получить его письменное согласие и сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение;
- запрещается получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами. Получать и обрабатывать данные о частной жизни субъекта персональных данных возможно только с его письменного согласия в случаях, непосредственно связанных с вопросами трудовых отношений;
- при принятии решений, затрагивающих интересы субъекта персональных данных, запрещается основываться на персональных данных субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;
- предупреждение лиц, уполномоченных на обработку персональных данных субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- осуществлять передачу персональных данных субъекта персональных данных в пределах администрации города Оленегорска в соответствии с настоящим Положением;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом персональных данных трудовой функции;
- передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
3.2.Субъекты персональных данных и их представители должны быть ознакомлены под роспись с настоящим Положением о защите персональных данных, устанавливающим порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области.
3.3.Лица, уполномоченные на обработку персональных данных, обеспечивают защиту персональных данных от несанкционированного доступа и копирования. Лица, уполномоченные на обработку персональных данных, дают обязательства о неразглашении персональных данных (приложение N 1).
3.4.Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования.
Защита сведений, хранящихся в электронных базах данных оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей. Пароли устанавливаются администратором баз данных соответственно и сообщаются индивидуально лицам, уполномоченным на обработку персональных данных данным субъектов персональных данных.
3.5.Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации, иными федеральными законами.
4.Порядок получения и обработки
и хранения персональных данных
4.1.Персональные данные субъекта персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на последующее хранение как в документальной форме (на бумажных носителях), так и в электронном виде (электронные носители, базы данных).
4.2.Персональные данные субъекта персональных данных обрабатываются и хранятся в секторе по муниципальной службе и кадровой работе в составе общего отдела администрации города Оленегорска, в отделе "Бухгалтерия" администрации города Оленегорска, в отделе по мобилизационной работе администрации города Оленегорска.
4.3.Допуск к персональным данным субъекта персональных данных разрешен должностным лицам, уполномоченным на обработку персональных данных, необходимый для выполнения конкретных трудовых функций.
4.4.Внешний допуск к персональным данным субъектов персональных данных имеют сотрудники контрольно-ревизионных комиссий при наличии документов, являющихся обоснованием к работе с персональными данными, а также государственные и негосударственные функциональные структуры (налоговая инспекция, правоохранительные органы, органы статистики, военкоматы, органы социального страхования, пенсионные фонды и др.).
4.5.Сведения о работающем субъекте персональных данных или уже уволенном предоставляются другой организации только с письменного запроса на бланке организации с приложением копии заявления субъекта персональных данных.
4.6.Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (приложение N 2).
4.7.Субъектом персональных данных может быть отозвано согласие на обработку персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении N 3.
4.8.Лица, уполномоченные на обработку персональных данных, при получении персональных данных или получении измененных персональных данных субъекта персональных данных должны:
- проверить достоверность сведений, сверяя данные, представленные субъектом персональных данных, с имеющимися у субъекта персональных данных документами;
- сделать копии представленных документов;
- подшить в личное дело субъекта персональных данных;
- внести соответствующие изменения в кадровые документы (при необходимости подготовить и подписать соответствующие документы, в которых отразить соответствующие изменения);
- довести до сведения лиц, уполномоченных на обработку персональных данных, об изменениях этих данных.
4.9.Своевременно, в течение 5 рабочих дней субъект персональных данных обязан лично либо через своего законного представителя сообщать лицам, уполномоченным на обработку персональных данных, об изменении своих персональных данных либо представить соответствующие документы.
4.10.Лицо, уполномоченное на обработку персональных данных, в случае необходимости получения персональных данных не от субъекта персональных данных (за исключением случаев, если персональные данные являются общедоступными) до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральными законами права субъекта персональных данных.
4.11.Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
4.12.В процессе хранения персональных данных субъекта персональных данных должны обеспечиваться:
- требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
- сохранность имеющихся данных, ограничение доступа к ним в соответствии с законодательством Российской Федерации и настоящим Положением;
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
4.13.Трудовые книжки субъектов персональных данных хранятся в сейфе в секторе по муниципальной службе и кадровой работе в составе общего отдела администрации города Оленегорска, доступ к которому имеет заведующий сектором, отвечающий за ведение трудовых книжек, либо лицо, его замещающее на период временного отсутствия. Хранение трудовых книжек субъектов персональных данных осуществляется в соответствии с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовых книжек и обеспечения ими работодателей, утвержденными постановлением Правительства Российской Федерации от 16.04.2003 N 225.
4.14.Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
5.Передача персональных данных
5.1.При передаче персональных данных субъекта персональных данных оператор должен соблюдать следующие требования:
5.1.1.Не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом.
5.1.2.Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные должны быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, уполномоченные на обработку персональных данных, обязаны соблюдать режим секретности (конфиденциальности).
5.1.3.Передавать персональные данные субъекта персональных данных его законным представителям в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
5.2.При получении персональных данных не от субъекта персональных данных (за исключением случаев, если персональные данные являются общедоступными) оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральными законами права субъекта персональных данных.
5.3.Персональные данные субъекта персональных данных предоставляются родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных, за исключением случаев, когда передача персональных данных субъекта персональных данных без его согласия допускается действующим законодательством Российской Федерации.
6.Обеспечение конфиденциальности персональных данных
6.1.Доступ к персональным данным субъекта персональных данных возможен только специально лицам, уполномоченным на обработку персональных данных, при этом указанные лица должны иметь право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций.
6.2.Оператор и иные лица, уполномоченные на обработку персональных данных, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.Права субъекта персональных данных по обеспечению защиты своих персональных данных
В целях обеспечения защиты персональных данных, хранящихся у оператора, субъект персональных данных имеет право на:
- полную информацию о его персональных данных и обработке этих данных, также имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных;
- требование от оператора уточнения его персональных данных, об исключении или исправлении неверных или неполных персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта персональных данных. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами;
- определение своих представителей для защиты своих персональных данных;
- требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суде любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.Права и обязанности оператора
8.1.При сборе персональных данных оператор предоставляет субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных.
8.2.Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
8.3.Оператор обеспечивает неограниченный доступ к правовым актам по вопросам обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
8.4.Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.5.Оператор обязан:
- сообщить в установленном порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к данному субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
- предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к данному субъекту персональных данных;
- принять меры по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных субъекта персональных данных.
9.Ответственность за нарушение норм,
регулирующих обработку и защиту персональных данных
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, установленных действующим законодательством Российской Федерации и настоящим Положением, несут ответственность, предусмотренную законодательством Российской Федерации.