Постановление от 18.02.2013 г № 57
Об утверждении Положения о защите персональных данных работников администрации города Данкова
В соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 (ред. от 25.07.2011) N 152-ФЗ "О персональных данных", Указом Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера", иными нормативными актами, действующими на территории Российской Федерации, администрация г. Данкова постановляет:
1.Утвердить Положение о защите персональных данных работников администрации города Данкова (прилагается).
2.Руководителям структурных подразделений с правами юридического лица (отделу экономики и финансов, МБУК "Данковский городской центр культуры и досуга") утвердить Положение о защите персональных данных работников и довести до сведения всех работников.
3.Довести настоящее Положение до сведения всех работников администрации города Данкова.
4.Настоящее постановление вступает в силу со дня его официального обнародования.
5.Контроль за исполнением настоящего постановления оставляю за собой.
Глава города Данкова
Н.М.ДЕРЕВНИНА
ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
АДМИНИСТРАЦИИ ГОРОДА ДАНКОВА
1.Общие положения
1.1.Положение о защите персональных данных работников администрации города (далее - Положение) определяет порядок получения, хранения, комбинирования, передачи и любого другого использования персональных данных в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений, предоставленных работником работодателю.
1.2.Цель настоящего Положения - защита персональных данных работников администрации города (далее - работники) от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3.Настоящее Положение разработано в соответствии со ст. 24 Конституции РФ, гл. 14 Трудового кодекса РФ N 197-ФЗ от 30.12.2001, Федеральным законом РФ "О персональных данных" N 152-ФЗ от 27.07.2006 и другими нормативными правовыми актами.
1.4.Администрация города Данкова является оператором, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.5.Представитель нанимателя в лице главы муниципального образования (далее - руководитель), осуществляющий полномочия нанимателя, обеспечивает защиту персональных данных работников администрации города, содержащихся в их личных делах, от неправомерного их использования или утраты.
1.6.Изменения в Положение могут быть внесены главой муниципального образования в установленном действующим законодательством порядке.
2.Понятия и состав персональных данных
2.1.Персональные данные - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность, и используемая работодателем, в частности, в целях выполнения требований:
- трудового законодательства при приеме на работу и заключении трудового договора, в процессе трудовых отношений, при предоставлении гарантий и компенсаций и др.;
- налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц;
- пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
- заполнения первичной статистической документации в соответствии с постановлением Госкомстата России от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты".
2.2.Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3.Конфиденциальность персональных данных - обязательное для соблюдения лицом, получившим доступ к персональным данным работника, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.4.Защита персональных данных работника - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями.
2.5.К персональным данным относятся:
- сведения, содержащиеся в документах, удостоверяющих личность;
- информация, содержащаяся в трудовой книжке работника;
- информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;
- сведения, содержащиеся в документах воинского учета (при их наличии);
- сведения об образовании, квалификации или наличии специальных знаний или подготовки;
- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
- сведения о доходах, об имуществе и обязательствах имущественного характера муниципального служащего, его супруги (супруга) и несовершеннолетних детей;
- информация о семейном положении работника и членах его семьи;
- данные о месте жительства, почтовый адрес, телефон работника, а также членов его семьи;
- сведения о доходах с предыдущего места работы для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;
- иные персональные данные, при определении объема и содержания которых работодатель руководствуется настоящим Положением и законодательством РФ.
2.6.К документам, содержащим информацию персонального характера, относятся:
- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе - автобиография, сведения о семейном положении работника, перемене фамилии, данные о членах семьи работника);
- личная карточка по форме Т-2;
- трудовые договоры с работниками, дополнительные соглашения к трудовым договорам, договоры о материальной ответственности с работниками;
- распорядительные документы по личному составу (подлинники и копии);
- основания к распоряжениям администрации города по личному составу;
- документы по оценке деловых и профессиональных качеств работников при приеме на работу;
- документы, отражающие деятельность конкурсных и аттестационных комиссий;
- документы о результатах служебных расследований;
- заявления, объяснительные и служебные записки работника;
- документы бухгалтерского учета, содержащие информацию о расчетах с персоналом;
- документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (например, медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров);
- документы о прохождении работником аттестации, собеседования, повышения квалификации;
- иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для корректного документального оформления трудовых правоотношений с работником.
3.Основные условия проведения обработки персональных данных работников
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.1.При обработке и передаче персональных данных лица, уполномоченные на обработку персональных данных, обязаны соблюдать следующие требования:
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- персональные данные следует получать лично у работника. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
- запрещается получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами. Получать и обрабатывать данные о частной жизни работника возможно только с его письменного согласия в случаях, непосредственно связанных с вопросами трудовых отношений;
- при принятии решений, затрагивающих интересы работника, запрещается основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
- передача персональных данных третьей стороне не допускается без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, установленных федеральными законами;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- осуществлять передачу персональных данных работника в пределах администрации города в соответствии с настоящим Положением;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
3.2.Работники и их представители должны быть ознакомлены под роспись с настоящим Положением о защите персональных данных, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.3.Структурные подразделения, а также сотрудники администрации города, в ведение которых входит работа с персональными данными, обеспечивают защиту персональных данных от несанкционированного доступа и копирования. Сотрудники, имеющие отношение к получению, обработке, хранению персональных данных, дают обязательства о неразглашении персональных данных (приложение N 4).
3.4.Персональные данные, которые обрабатываются в информационных системах (компьютерах), подлежат защите от несанкционированного доступа и копирования.
Защита сведений, хранящихся в электронных базах данных работодателя, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.
3.5.Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ, иными федеральными законами.
4.Порядок получения и обработки и хранения персональных данных работника
4.1.Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на последующее хранение как в документальной форме (на бумажных носителях), так и в электронном виде (электронные носители, базы данных).
4.2.Персональные данные работников обрабатываются и хранятся в общем отделе администрации города.
4.3.Личное дело работника оформляется после издания распоряжения о приеме на работу либо назначении на должность. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
4.4.Доступ к электронным базам данных, содержащим персональные данные работников, ограничен системой паролей.
4.5.Допуск к персональным данным работника разрешен должностным лицам, которым персональные данные необходимы для выполнения конкретных трудовых функций. Список лиц, имеющих право доступа к персональным данным работников, представлен в приложении N 1 к настоящему Положению.
4.6.Право внешнего доступа к персональным данным имеют:
- к числу массовых потребителей персональных данных вне работников администрации города Данкова, указанных в приложении N 1 к настоящему Положению, можно отнести государственные и негосударственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, органы социального страхования, пенсионные фонды, подразделения муниципальных органов управления;
- надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции;
- организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения;
- другие организации: сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заверенного заявления работника; персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника; в случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия; сведения о иных субъектах персональных данных могут быть предоставлены другой организации только с письменного согласия субъекта персональных данных.
При письменном согласии работника допуск к обработке персональных данных работников, а именно доступ к информации о заработной плате, имеет отдел экономики и финансов администрации города Данкова Липецкой области, а также отдел экономики и финансов администрации Данковского муниципального района Липецкой области.
4.7.Сведения о работающем работнике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением заверенной копии заявления работника.
4.8.Обработка персональных данных осуществляется с согласия работника на обработку его персональных данных. Примерная форма согласия на обработку персональных данных работника представлена в приложении N 2.
4.9.Согласие на обработку персональных данных может быть отозвано работником. Примерная форма отзыва согласия на обработку персональных данных представлена в приложении N 3.
4.10.Работник представляет лицам, указанным в пунктах 1 - 5 приложения N 1 к настоящему Положению, достоверные сведения о себе. Работник, ответственный за сбор информации, при получении персональных данных или получении измененных персональных данных работника должен:
- проверить достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами;
- сделать копии представленных документов;
- подшить в личное дело работника;
- внести соответствующие изменения в кадровые документы (при необходимости подготовить и подписать соответствующие документы, в которых отразить соответствующие изменения);
- довести до сведения работников, ответственных за обработку персональных данных, об изменениях этих данных.
4.11.Своевременно, в разумный срок, не превышающий 5 рабочих дней, работник обязан лично либо через своего законного представителя сообщать работнику, ответственному за сбор информации, об изменении своих персональных данных либо представить соответствующие документы.
4.12.Если персональные данные работника возможно получить только у третьей стороны, то сотрудник, имеющий право доступа к персональным данным в соответствии с перечнем персональных данных, к которым он допущен, указанных в приложении N 1 к настоящему Положению:
- уведомляет работника не позднее 5 рабочих дней до даты запроса о получении данных у третьей стороны, сообщив работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
- получает от работника письменное согласие;
- при получении согласия делает запрос и получает необходимые данные.
4.13.При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральными законами права субъекта персональных данных.
4.14.Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.
4.15.Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
4.16.В процессе хранения персональных данных работников должны обеспечиваться:
- требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
- сохранность имеющихся данных, ограничение доступа к ним в соответствии с законодательством Российской Федерации и настоящим Положением;
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
4.17.Муниципальные служащие общего отдела, указанные в п. 4 - 7 приложения N 1 к настоящему Положению, организуют хранение и использование персональных данных работников в соответствии с законодательством РФ, настоящим Положением и другими локальными нормативными актами, регламентирующими порядок работы с персональными данными работников.
4.18.Доступ к программному обеспечению, а также к персональной информации, хранящейся на электронных носителях, осуществляется при введении пароля пользователя или личного идентификатора.
4.19.Документы персонального характера хранятся в сейфе общего отдела.
4.20.Трудовые книжки работников хранятся в сейфе общего отдела, доступ к которому имеют только работники администрации, указанные в приложении N 1 к настоящему Положению. Хранение трудовых книжек работников осуществляется в соответствии с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовых книжек и обеспечения ими работодателей, утвержденными постановлением Правительства Российской Федерации от 16 апреля 2003 года N 225.
4.21.Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
5.Обеспечение конфиденциальности персональных данных
5.1.Доступ к персональным данным работников возможен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
5.2.Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия работника, если иное не предусмотрено федеральным законом.
6.Права работника по обеспечению защиты своих персональных данных
В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
- полную информацию об их персональных данных и обработке этих данных, в частности работник имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных;
- требование от оператора уточнения его персональных данных, об исключении или исправлении неверных или неполных персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. Право работника на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.Права, обязанности оператора
При сборе и обработке персональных данных работника оператор руководствуется Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
7.1.При сборе персональных данных оператор предоставляет работнику по его просьбе информацию, касающуюся обработки его персональных данных.
7.2.Оператор обязан разъяснить работнику юридические последствия отказа предоставить его персональные данные.
7.3.В случае получения персональных данных не у работника, оператор до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права работника;
5) источник получения персональных данных.
7.4.Оператор обеспечивает неограниченный доступ к правовым актам по вопросам обработки персональных данных лицам, указанным в приложении N 1 к настоящему Положению.
7.5.Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.6.Оператор обязан:
- сообщить работнику или его представителю в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, только ту информацию о персональных данных работника, которые необходимы для выполнения указанными представителями их функций;
- предоставить безвозмездно работнику или его представителю возможность ознакомления с персональными данными, относящимися к данному работнику;
- принять меры по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных работника.
7.7.Лица, ответственные за организацию обработки персональных данных, указанные в приложении N 1 к настоящему Положению, обязаны:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов работников или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
8.Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, установленных действующим законодательством Российской Федерации и настоящим Положением, несут ответственность, предусмотренную законодательством Российской Федерации.
9.Заключительные положения
9.1.Положение обязательно для всех работников администрации города Данкова.
9.2.Работники и их представители должны быть ознакомлены под расписку с документами администрации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Форма расписки представлена в приложении N 3 к настоящему Положению.
Приложения
2013-02-18 Приложение к Постановлению от 18 февраля 2013 года № 57 Положение
2013-02-18 Приложение к Постановлению от 18 февраля 2013 года № 57 Список