Положение об обработке и защите персональных данных

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
в филиале ФГУП «Ростехинвентаризация – Федеральное БТИ» по Красноярскому краю,
утвержденное приказом филиала от 31.10.2011 №198.


Красноярск

Термины и определения

 

Работник - физическое лицо, вступившее в трудовые отношения с работодателем.

Работодатель – филиал ФГУП «Ростехинвентаризация - Федеральное БТИ» по Красноярскому краю (далее -филиал), вступивший в трудовые отношения с работником.

Трудовые отношения - отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции (работы по определенной должности, специальности, квалификации), подчинении работника правилам внутреннего трудового распорядка при обеспечении условий труда, предусмотренных трудовым законодательством, коллективным договором, соглашениями.

Персональные данные - любая информация, относящаяся к прямо или  косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные работников - информация, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

 

1.Общие положения

 

Положение о персональных данных филиала (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных», Указом Президента Российской Федерации от 06.03.1997г. № 188  «Об утверждении перечня сведений конфиденциального характера» и другими нормативными актами.

Настоящее Положение устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность руководителей подразделений и работников филиала ФГУП «Ростехинвентаризация – Федеральное БТИ» по Красноярскому краю (далее – филиал). Филиал является оператором персональных данных.

Работники филиала допускаются к обработке персональных данных в объеме, определяемом должностными обязанностями.

В организации ведется обработка персональных данных работников в информационных системах «1С Бухгалтерия», АСУП (ERP) «Управление кадрами», а также персональные данные граждан (контрагентов: физических и юридических лиц).

Организация обеспечения безопасности персональных данных в филиале возлагается на должностное лицо, назначенное ответственным приказом директора за обеспечение безопасности персональных данных.

Требования настоящего Положения доводятся до всех работников филиала под роспись.

 

2.Обработка персональных данных

 

2.1 Общий порядок обработки.

 

Обработка персональных данных в филиале ведется в объеме, определяемом Положениями о них.

Обработка персональных данных работников, включаемых в личные дела работников филиала, осуществляется работниками отдела кадров с соблюдением требований Трудового Кодекса Российской Федерации.

Директором филиала определяются лица, уполномоченные на получение, хранение, передачу и другое использование персональных данных работников (далее - уполномоченные лица). Целесообразность предоставления доступа к персональным данным работников определяет директор филиала, руководствуясь при этом локальными актами филиала и обоснованностью требуемых прав доступа.

 

2.2 Получение (сбор) персональных данных:

 

Сбор персональных данных может осуществляться исключительно в целях:

-содействия работникам в трудоустройстве, обучении и продвижении по службе;

-иных случаях, в том числе в связи с заключением договоров, стороной которых являются субъекты персональных данных.

При определении объема и содержания, обрабатываемых персональных данных филиал руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года    № 152-ФЗ «О персональных данных» и другими нормативными актами.

Объем и характер обрабатываемых персональных данных, способы обработки персональных данных, должны соответствовать целям обработки персональных данных.

Персональные данные работников (или претендентов на вакантные должности) следует получать лично у субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (работодатель должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение).

Запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

Запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Филиал не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, а также частной жизни - сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

При принятии решений, затрагивающих интересы субъекта персональных данных, филиал не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.

Все документы, содержащие персональные данные, должны быть уничтожены установленным порядком по достижении цели, для которой они собирались и использовались.

Дела, содержащие персональные данные субъектов персональных данных, должны вестись в соответствии с требованиями действующих инструкций.

 

 

2.3 Доступ к персональным данным

 

Лица, доступ которых к персональным данным, обрабатываемым в информационных системах филиала, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании перечня, утвержденного Приказом директора филиала.

Лица, имеющие доступ к персональным данным дают письменное согласие о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки (Приложение 1).

Лица, имеющие доступ к персональным данным имеют право получать и обрабатывать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

В случае если филиалу оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров, они должны иметь доступ к персональным данным, обрабатываемым в филиале, то соответствующие данные предоставляются филиалом только после подписания с ними соглашения о неразглашении конфиденциальной информации или включения в договоры пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных.

Государственным органам, осуществляющим функции контроля (надзора) предоставляют права доступа к персональным данным, обрабатываемым в филиале только в сфере своей компетенции и в объеме, предусмотренном действующим законодательством.

Субъект персональных данных, данные о котором обрабатываются в филиале, имеет право на свободный доступ к своим персональным данным, получение копий своих персональных данных (за исключением случаев предусмотренных федеральным законом) на основании его письменного запроса, который регистрируется в журнале учета обращений субъектов персональных данных, журнал заполняет ответственное лицо в подразделении, контроль заполнения осуществляет руководитель подразделения. 

Филиал обязан в порядке, предусмотренном Федеральным законом             от 27 июля 2006 №152-ФЗ «О персональных данных», сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

 

2.4 Обработка документов внутреннего пользования.

 

В филиале могут создаваться документы внутреннего использования, содержащие персональные данные работников, предназначенные для общего внутреннего пользования (телефонные справочники, справочники с днями рождений, объявления, поздравления, бирки на служебных кабинетах и т. п.). Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы, и (или) на лиц, изготовивших и разместивших их.

Внутренние телефонные справочники выдаются в отделы под роспись с указанием количества выданных в подразделение экземпляров. При этом старые справочники возвращаются и уничтожаются лицами, ответственными за их изготовление и выдачу с оформлением составленного акта уничтожения.

Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего использования, содержащие персональные данные, запрещается.

Обработка персональных данных ведется работниками на рабочих местах, выделенных для исполнения ими должностных обязанностей. Членами комиссий обработка персональных данных может производиться в помещениях, где происходит заседание данной комиссии. По окончании заседания документы, содержащие персональные данные, возвращаются в места их постоянного хранения.

 

2.5 Передача персональных данных:

 

Запрещается передавать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях установленных законодательством РФ.

Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи, а также представителям субъекта только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.

Документы, содержащие персональные данные субъекта, по его личному заявлению, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

Передача персональных данных по незащищенным каналам связи запрещается.

Внутри филиала без письменного согласия субъекта персональных данных разрешается передача (представлять) персональных данных в подразделения филиала и комиссии, необходимые им для выполнения своих функций.

Лица, получающие персональные данные, должны быть предупреждены, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральным законодательством);

Разрешается передавать персональные данные представителям субъектов персональных данных в порядке, установленном существующим законодательством, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций.

Запрещается передавать кому-либо персональные данные субъектов персональных данных в коммерческих целях без письменного согласия субъектов.

Все факты передачи персональных данных третьим лицам должны учитываться в «Журнале учета передачи сведений, содержащих ПДн». В Журнале указывают сведения о поступившем запросе (кто является отправителем запроса, дата его поступления), дату ответа на запрос, данные, какая именно информация была передана, или отметку об отказе в ее предоставлении (в случае трудовых отношений разрешается ограничиваться помещением в личное дело работника выписок, копий документов и т.п., отражающих сведения о поступившем запросе и результатах его рассмотрения). Учет передачи персональных данных разрешается не производить при передаче их в случае, установленном законом, а также при внутренней передаче.

Ответ на запрос подписывается (визируется) руководителем того подразделения, который отвечает за достоверность содержащихся в них сведений, если иное не предусмотрено законодательством.

 

3.Обязанности лиц, допущенных к обработке персональных данных.

 

Работники, допущенные к обработке персональных данных, обязаны:

-знать и выполнять требования настоящего Положения;

-осуществлять обработку персональных данных в целях определенных        п. 2.2. данного Положения;

-знакомиться только с теми персональными данными, к которым получен доступ;

-не разглашать известные им сведения о персональных данных, информировать своего непосредственного начальника о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;

-предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

-выполнять требования по защите полученных персональных данных;

-соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;

-предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения.

 

4.Защита персональных данных

 

Защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается филиалом, в установленном действующем законодательством и локальными актами филиала порядке, выполнением комплекса организационно-технических мер, обеспечивающих их безопасность.

Для осуществления мероприятий по обеспечению безопасности персональных данных в филиале приказом директора, назначаются ответственные лица за обеспечение безопасности персональных данных.

Организацию защиты персональных данных в филиале обеспечивает директор филиала.

Получение и обработка уполномоченными лицами персональных данных производится после подписания субъектом персональных данных Согласия, в случаях если это требуется законодательством.

Документы, содержащие персональные данные, должны храниться в надежно запираемых хранилищах, а также в не запираемых шкафах, при условии, что бесконтрольный доступ посторонних лиц в хранилища (кабинеты) исключен.

Персональные данные работников филиала (личное дело, личная карточка работника (форма Т-2)), трудовые книжки и др.) хранятся в отделе кадров в сейфах или в запираемых шкафах.

Хранение персональных данных в подразделениях филиала, сотрудники которых имеют допуск к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.

Организация защиты персональных данных в Информационных системах филиала осуществляется в рамках действующей в филиале системы защиты информации. Доступ к Информационным системам филиала, содержащим персональные данные, обеспечиваются системой паролей, а так же программно-техническими средствами защиты информации.

Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.

В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся персональные данные, а также помещений, где находятся средства вычислительной техники, предназначенные для обработки персональных данных, находятся на хранении у ответственных работников.

По окончании рабочего времени помещения, предназначенные для обработки персональных данных должны быть закрыты на ключ, бесконтрольный доступ в такие помещения должен быть исключен (например применением опечатывания, видеонаблюдения или систем контроля доступа).

Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

При принятии решений, затрагивающих интересы субъекта, филиал не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

Все меры конфиденциальности при сборе, обработке и хранении персональных данных работника распространяются как на бумажные, так и на электронные носители информации.

 

5.Права субъектов на защиту своих персональных данных

 

В целях обеспечения защиты своих персональных данных субъект имеет право:

·        получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

·        осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом;

·        требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона (работник, при отказе филиала или уполномоченного им лица исключить или исправить персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);

·        требовать от филиала или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;

·        обжаловать в суде любые неправомерные действия или бездействие руководителя организации пли уполномоченного им лица при обработке и защите персональных данных;

·        вносить предложения по мерам защиты персональных данных.

 

6.Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

 

Должностные лица, имеющие доступ к персональным данным несут личную ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.

Каждый работник филиала, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Работники филиала, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.

Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц.

За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

Ответственность за соблюдение вышеуказанного порядка обработки персональных данных несет работник, а также руководитель структурного подразделения, осуществляющего обработку персональных данных.

Должностные лица, в обязанность которых входит обработка персональных данных работников филиала, обязаны обеспечить каждому работнику, при необходимости, возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

 

7.Контроль выполнения требований настоящего Положения

 

Повседневный контроль порядка обращения с персональными данными осуществляют руководители тех структурных подразделений филиала, в которых обрабатываются персональные данные субъектов.

Периодический контроль выполнения настоящего Положения возлагается на должностное лицо, назначенное генеральным директором филиала, ответственным за обеспечение безопасности персональных данных.