РОССИЙСКАЯ ФЕДЕРАЦИЯ
ИРКУТСКАЯ ОБЛАСТЬ
Администрация
Зиминского районного муниципального образования
П О С Т А Н О В Л Е Н И Е
от 10.10.2013 г. г. Зима № 15591
Об утверждении Положения об обработке
и защите персональных данных в администрации
Зиминского районного муниципального
образования
Во исполнение требований Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», в целях установления методов и способов обработки персональных данных и их защиты, руководствуясь постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», ст.ст. 22,46 Устава Зиминского районного муниципального образования, администрация Зиминского районного муниципального образования
ПОСТАНОВЛЯЕТ:
1. Утвердить Положение об обработке и защите персональных данных в администрации Зиминского районного муниципального образования (прилагается).
2. Управляющему делами администрации Зиминского районного муниципального образования Тютневой Т.Е. опубликовать настоящее постановление в информационно – аналитическом, общественно – политическом еженедельнике «Вестник района».
3. Настоящее постановление вступает в силу после дня его официального опубликования.
4. Контроль за исполнением настоящего постановления возложить на управляющего делами администрации Зиминского районного муниципального образования Тютневу Т.Е.
Мэр Зиминского муниципального района Н.В. Никитина
Приложение № 1
к постановлению администрации
Зиминского районного муниципального
образования
от 10.10.2013 г. № 15591
Положение
об обработке и защите персональных данных в администрации
Зиминского районного муниципального образования
1. Настоящее Положение об обработке и защите персональных данных в администрации Зиминского районного муниципального образования (далее - Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»для установления порядка приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным сотрудников администрации Зиминского районного муниципального образования (далее - администрация) и лиц обращающихся в администрацию. Положение призвано исключить возможность утечки и несанкционированного доступа к персональным данным в процессе их накопления, хранения, обработки, передачи и использования за счет:
- установления перечня персональных данных;
- определения порядка обращения информации содержащей персональные данные;
- определения порядка взаимодействия сотрудников администрации при обеспечении сохранности персональных, а также установления ответственности за разглашение персональных данных.
2. Положение определяет порядок обработки персональных данных, относящихся к специальным категориям персональных данных, персональных данных сотрудников администрации и иных субъектов персональных данных, персональные данные которых подлежат обработке на основании полномочий администрации, обеспечивает защиту прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Настоящее Положение обязательно для исполнения всеми сотрудниками администрации.
3. В настоящем Положении используются следующие термины и их определения.
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Держатель персональных данных является администрация, которой собственник (субъект) добровольно (на основании согласия на обработку персональных данных) передает во владение свои персональные данные. Держатель персональных данных выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
Доступ к информации – возможность получения информации и ее использования.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Работодатель – мэр Зиминского муниципального района
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Субъект - собственник информационных ресурсов (персональных данных), в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные. Субъект самостоятельно решает вопрос передачи своих персональных данных на основании согласия на обработку персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
4. В состав персональных данных, обрабатываемых в администрации, входит информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника, а также сведения о фактах, событиях и обстоятельствах жизни, как сотрудника, так и лица обратившегося в администрацию, позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
К персональным данным относятся:
― все биографические сведения;
― образование;
― специальность;
― занимаемая должность;
― наличие судимостей;
― адрес местожительства;
― домашний телефон;
― состав семьи;
― место работы или учебы членов семьи и родственников;
― характер взаимоотношений в семье;
― размер заработной платы;
― содержание трудового договора и дополнений к нему;
― состав декларируемых сведений о наличии материальных ценностей;
― подлинники и копии распоряжений (локальных нормативных актов) по личному составу;
― личные дела, личные карточки (форма Т2) и трудовые книжки сотрудников;
― социальное положение;
― основания к распоряжениям (локальным нормативным актам) по личному составу;
― дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
― отчеты направляемые в органы статистики и их копии;
― анкета;
― сведения о награждениях и поощрениях;
― копии документов об образовании;
― результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
― фотографии и иные биометрические сведения;
― свидетельство о присвоении ИНН, либо данные содержащиеся в нем;
― страховое свидетельство государственного пенсионного страхования;
― выезды за границу.
К бумажным носителям персональных данных относятся:
― журналы учета трудовых книжек;
― материалы по учету рабочего времени;
― журналы сверки и учета по военнообязанным;
― копии документов содержащих персональные данные;
― журналы приема граждан по личным вопросам и материалы рассмотрения обращений;
― материалы рассмотрения протоколов об административных правонарушениях;
― лицевые счета;
― материалы по формированию резерва управленческих кадров администрации;
― свидетельства о государственной регистрации права на недвижимое имущество;
― документальные материалы по выдаче разрешений на строительство;
― документальные материалы по вводу индивидуального строительства в эксплуатацию.
Права и обязанности держателя персональных данных осуществляются физическим лицом, уполномоченным работодателем – мэром Зиминского районного муниципального образования (далее – мэр). Указанные права и обязанности мэр может делегировать нижестоящим руководителям – своим заместителям, руководителям структурных подразделений, работа которых требует знания персональных данных субъектов или связана с обработкой этих данных.
Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи и разглашения.
5. Персональные данные сотрудников администрации:
- личные данные сотрудников администрации: паспортные данные; адрес фактического проживания; семейное, социальное, имущественное положение; образование; профессия; доходы;
- условия трудовых договоров, заключенных с сотрудниками администрации;
- сведения по страхованию сотрудников администрации, в том числе суммы страхования и размер страховых премий, перечисленных в страховую организацию;
- сведения по военно-учетному столу;
- сведения об уровне заработной платы сотрудников, за исключением сведений о системе оплаты труда;
- сведения о формировании кадрового резерва в администрации;
- телефонный справочник администрации, в том числе списки электронных адресов сотрудников.
6. Информация, представляемая сотрудником при поступлении на работу в администрацию, должна иметь документальную форму. При заключении трудового договора в соответствии Трудовым кодексом Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или сотрудник поступает на работу на условиях совместительства, либо трудовая книжка у сотрудника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у сотрудника).
При поступлении на муниципальную службу предоставляются документы в соответствии с законодательством Российской Федерации о муниципальной службе.
При оформлении сотрудника в администрации ведущим специалистом по кадровым вопросам, заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные сотрудника:
- общие сведения (Ф.И.О. сотрудника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
7. В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и контактных телефонах.
8. В управлении правовой, кадровой и организационной работы администрации создаются и хранятся следующие группы документов, содержащие данные о сотрудниках в единичном или сводном виде:
- документы, содержащие персональные данные сотрудников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии распоряжений по личному составу; личные дела и трудовые книжки сотрудников; дела, содержащие основания распоряжений по личному составу; дела, содержащие материалы аттестации сотрудников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству администрации, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);
9. Специальные категории персональных данных:
9.1. В состав специальных категорий персональных данных входят данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
9.2. Обработка специальных категорий персональных данных допускается только в случае, если:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
10. Выдача документов, содержащих персональные данные работников, осуществляется в соответствии со ст. 62 Трудового кодекса Российской Федерации с соблюдением следующей процедуры:
- заявление сотрудника о выдаче того или иного документа на имя начальника отдела муниципальной службы;
- выдача заверенной копии (в количестве экземпляров, необходимом сотруднику) заявленного документа, либо справки о заявленном документе или сведениях, содержащихся в нем;
- внесения соответствующих записей в журнал учета выданной информации (Приложение 8).
11. Обработка персональных данных – получение, хранение, комбинирование, передача или любое другое использование персональных данных физического лица. Обработка персональных данных сотрудника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренных законодательством Российской Федерации и внутренними документами администрации.
12. Администрация не имеет права получать и обрабатывать персональные данные сотрудника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации администрация вправе получать и обрабатывать персональные данные сотрудника только с его письменного согласия (Приложение 1). Администрация не имеет права получать и обрабатывать персональные данные сотрудника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
13. Получение персональных данных:
Сотрудник и субъект обязаны предоставлять администрации достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Специалисты администрации проверяют достоверность предоставленных сведений, сверяя предоставленные данные с имеющимися документами.
В случаях, когда администрация может получить необходимые персональные данные только у третьей стороны, администрация должна уведомить об этом сотрудника или субъекта и получить от него письменное согласие по установленной форме (приложение 1). Администрация обязана сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа дать письменное согласие на их получение.
14. Хранение персональных данных:
Персональные данные сотрудников администрации хранятся в управлении правовой, кадровой и организационной работы администрации в металлических запирающихся шкафах. Личные дела сотрудников хранятся в бумажном виде.
Сотрудники администрации, имеющие доступ к персональным данным в связи с исполнением трудовых обязанностей:
- обеспечивают хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц;
- при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия на своем рабочем месте, сотрудник обязан передать документы и иные носители, содержащие персональные данные лицу, на которое будет возложено исполнение его трудовых обязанностей.
При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным.
15. Использование персональных данных:
Доступ к персональным данным имеют сотрудники администрации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
Перечень сотрудников, имеющих доступ к персональным данным, утверждается правовым актом администрации.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией мэра, доступ к персональным данным может быть предоставлен иному сотруднику, который не включен в распоряжение о назначении ответственных сотрудников для доступа к персональным данным, и которым они необходимы в связи с исполнением трудовых обязанностей.
В случае если администрация пользуется услугами юридических и физических лиц на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным, то соответствующие данные предоставляются только после подписания с ними обязательства о неразглашении сведений, содержащих персональные данные (приложение 3).
В отдельных случаях, исходя из договорных отношений с контрагентом, в том числе предусматривающих защиту персональных данных, такие отношения могут регулироваться отдельным разделом в договоре (Приложение 4).
Процедура оформления доступа сотрудника администрации к персональным данным включает в себя:
- ознакомление сотрудника администрации под роспись с настоящим Положением, распоряжениями, приказами, актами и другими документами, регламентирующими работу с персональными данными в администрации;
- принятие сотрудником администрации обязательств о неразглашении сведений конфиденциального характера и соблюдении режима конфиденциальности (Приложение 2).
Сотрудники администрации, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых обязанностей.
При передаче персональных данных, лица, получающие данную информацию, предупреждаются о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с них требуется обязательство о неразглашении сведений, содержащих персональные данные (Приложение 6).
16. Доступ к персональным данным третьих лиц (физических и юридических):
Передача персональных данных третьим лицам осуществляется только с письменного согласия (Приложение 1).
Не допускается передача персональных данных в коммерческих целях без письменного согласия.
Передача сведений содержащих персональные данные контрагентам в рамках установленных договорных отношений осуществляется посредством подписания сторонами Акта приема-передачи (Приложение 6). Акт должен содержать следующие условия:
- уведомление лица, получающего данные документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
- предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с законодательством Российской Федерации.
17. Передача документов (иных материальных носителей), содержащих персональные данные, осуществляется при наличии у лица, уполномоченного на их получение:
- договора на оказание услуг;
- обязательства о неразглашении конфиденциальной информации (приложение 3), либо наличие в договоре с третьим лицом раздела договора о сохранности сведений содержащих персональные данные (приложение 4);
- письма-запроса от третьего лица, которое должно включать в себя указание на основании получения доступа к запрашиваемой информации, содержащей персональные данные, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Предоставление персональных данных государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
18. Персональные данные могут быть предоставлены родственникам или членам семьи только с письменного разрешения (Приложение 1), за исключением случаев, когда передача персональных данных без согласия допускается действующим законодательством Российской Федерации.
19. Документы, содержащие персональные данные, могут быть отправлены через организацию Федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
20. Уничтожение персональных данных.
Персональные данные должны храниться в администрации не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация подлежит уничтожению в соответствии со ст.21 Федерального закона № 152 от 27.07.2006 «О персональных данных», в течении тридцати дней, если иное не предусмотрено законодательством Российской Федерации.
Номенклатурные дела временного срока хранения, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством об архивном деле в Российской Федерации, электронные носители информации, и другие документальные материалы, содержащие персональные данные находятся в администрации до истечения срока их хранения, после чего уничтожаются согласно актам (Приложение 7).
По истечении срока хранения бумажных носителей персональных данных должны быть уничтожены без возможности восстановления:
Составляется акт об уничтожении бумажных носителей.
В соответствии с актом бумажные носители уничтожаются без возможности восстановления (сжигание).
Допустимо уничтожение части персональных данных, если это допускается бумажным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на бумажном носителе (зачеркивание).
По истечении срока хранения персональных данных на электронных носителях, персональные данные или электронные носители должны быть уничтожены без возможности восстановления.
Составляется акт об уничтожении персональных данных на электронных носителях.
В соответствии с актом персональные данные уничтожаются без возможности восстановления.
При невозможности удаления информации, уничтожается сам электронный носитель.
21. Организация защиты персональных данных:
Защита персональных данных от неправомерного их использования или утраты обеспечивается системой защиты персональных данных.
Общую организацию защиты персональных данных лиц осуществляет управление правовой, кадровой и организационной работы администрации, которое обеспечивает:
- ознакомление сотрудников, которые участвуют в обработке персональных данных, под роспись с настоящим Положением, регламентирующими документами, актами и другими документами, регламентирующими работу с персональными данными в администрации;
- получение от сотрудника, обрабатывающего персональные данные, обязательства о неразглашении сведений содержащих персональные данные (Приложение 2).
22. Правовым администрации утверждается перечень сведений конфиденциального характера.
23. Защита сведений, хранящихся в электронных базах данных администрации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системой защиты персональных данных, включающей организационные меры, и (по мере необходимости) технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
24. Технические меры по защите персональных данных
Технические меры по защите персональных данных включают в себя:
- исключение возможности несанкционированного доступа к персональным данным в администрации лицам, не допущенным к обработке персональных данных в установленном порядке;
- установку, настройку и сопровождение технических и программных средств защиты информации (в том числе шифровальных (криптографических) средств, средств предотвращения несанкционированного доступа и утечки информации по техническим каналам.
25. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
- при отсутствии установленных и настроенных сертифицированных средств защиты информации;
- при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
- в случаях, когда возможно визуальное считывание персональных данных с монитора посторонними лицами;
- запрещается при обработке персональных данных в слух зачитывать (диктовать) персональные данные.
26. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме (Приложение 7).
Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых металлических шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность от повреждений при воздействии внешних факторов.
Доступ к персональным данным, содержащихся на электронных носителях, осуществляется только с помощью установленного пароля, либо специально установленных технических средств защиты.
Решение, порождающее юридические последствия в отношении лица, или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных, только при наличии его согласия в письменной форме, или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов лица.
27. Субъекты обработки персональных данных имеют право:
Получать полную информацию об их персональных данных и обработке этих данных, свободный бесплатный доступ к своим персональным данным, и ознакомление с ними, включая право на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации;
Требовать от администрации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не, являющих необходимыми (для администрации) персональных данных субъекта;
Получать от администрации:
- сведения о лицах, которые имеют доступ к персональным данным субъекта, или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Определять своих представителей для защиты своих персональных данных.
Доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.
Требовать от администрации извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Положения. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.
Иные права, обязанности, действия сотрудников, в трудовые обязанности, которых входит обработка персональных данных, определяются должностными инструкциями.
28. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
29. Разглашение персональных данных (передача их посторонним лицам, в том числе, сотрудникам администрации, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъектов, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (распоряжениями, постановлениями) администрации, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарной ответственности.
30. Сотрудники администрации, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных без согласия из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии с Уголовным Кодексом Российской Федерации. Сотрудники администрации, имеющие доступ к персональным данным и совершившие указанный дисциплинарный проступок, несут полную материальную ответственность в случае причинения его действиями ущерба администрации, в соответствии с Трудовым кодексом Российской Федерации.
Приложение № 1
к Положению об обработке и защите персональных данных в администрации Зиминского районного муниципального образования.
Мэру Зиминского муниципального района
Никитиной Н.В.
от ___________________________________
_____________________________________
______________________________________
(Ф.И.О., должность)
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, __________________________________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность ___________________________________________
(вид документа)
_________№______________выдан____________________________________________________________________________________________________________________________
(кем и когда)
проживающий (ая) по адресу ___________________________________________________
_________________________________________________________________________________________________________________________________________________________,
даю согласие администрации Зиминского районного муниципального образования, расположенной по адресу Иркутская область, Зиминский район, ул. Ленина, 5, на обработку моих персональных данных включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, с использованием средств автоматизации или без использования таких средств, а именно:
- Фамилия;
- Имя;
- Отчество;
- Год, месяц, дата рождения, место рождения;
- Адрес;
- Паспортные данные (серия, номер, кем и когда выдан);
- Гражданство;
- ИНН;
- Рабочий номер телефона и адрес электронной почты.
- Сведения о профессии, должности, образовании;
- Страховое свидетельство обязательного пенсионного страхования;
Для передачи в _______________________________________________________, с целью ____________________________________________________________________________.
Я уведомлен(а) о своем праве отозвать согласие путем подачи письменного заявления. Подтверждаю, что отзыв согласия производится в письменном виде в соответствии с действующим законодательством. Всю ответственность за неблагоприятные последствия отзыва согласия беру на себя.
Подтверждаю, что ознакомлен(а) с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.
Согласие вступает в силу со дня его подписания и действует в течение срока трудового договора.
________________________ _____________________
(Ф.И.О.) (подпись)
«___» _______________ 20____ г.
Приложение № 2
к Положению об обработке и защите персональных данных в администрации Зиминского районного муниципального образования
ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных ставших известными
в период исполнения должностных обязанностей
Я,______________________________________________________________________________
(Ф.И.О. служащего администрации Зиминского районного муниципального образования)
исполняющий(ая) должностные обязанности по замещаемой должности
________________________________________________________________________________________________________________________________________________________________
(должность, наименование структурного подразделения)
предупрежден(а) о том, что на период исполнения должностных обязанностей в соответствии с должностными инструкциями мне будет предоставлен допуск к информации, содержащей персональные данные сотрудников администрации и лиц обратившихся в администрацию:
― биографические сведения;
― образование;
― специальность;
― занимаемая должность;
― наличие судимостей;
― адрес места жительства;
― домашний телефон;
― состав семьи;
― место работы или учебы членов семьи и родственников;
― характер взаимоотношений в семье;
― размер заработной платы;
― содержание трудового договора и дополнений к нему;
― состав декларируемых сведений о наличии материальных ценностей;
― подлинники и копии распоряжений содержащих персональные данные;
― личные дела, личные карточки (форма Т2) и трудовые книжки сотрудников, а также лиц обратившихся в администрацию;
― основания к распоряжениям по личному составу;
― дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
― копии отчетов, направляемые в органы статистики;
― анкета;
― копии документов об образовании;
― результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
― фотографии и иные биометрические сведения.
Настоящим добровольно принимаю на себя обязательства:
- Соблюдать правительственные, и локальные нормативные акты работодателя, по работе с персональными данными, и регламентирующих вопросы защиты персональных данных;
- В случае необходимости выполнять автоматизированную обработку и хранение персональных данных только после выполнения всех мероприятий по защите информации;
- В случае возникновения ситуации нарушения безопасности персональных данных, или несанкционированного доступа к данной информации, попытке третьих лиц получить от меня информацию, содержащую персональные данные, немедленно сообщать о данном факте непосредственному начальнику;
- Не осуществлять работу с персональными данными в присутствии лиц, не имеющих доступа к ним;
- Передавать персональные данные третьим лицам (организациям) в порядке установленном регламентирующими документами;
- Предупреждать лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они преданы, и требовать от этих лиц письменного подтверждения того, что данное правило будет соблюдено;
- Не использовать информацию, содержащую персональные данные, с целью получения выгоды;
- После прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам, ставшую известной мне информацию, содержащую персональные данные.
В связи с этим за мной закрепляются права:
1.На знание требований нормативно-методических документов по защите информации и персональных данных;
2.На требование по обеспечению рабочего места средствами и материалами, необходимыми для осуществления работ с персональными данными и соблюдения режима конфиденциальности;
3.Участвовать при выработке мер защиты персональных данных, обрабатываемых в администрации муниципального района и её структурных подразделениях и вносить предложения по улучшению работы, связанной с обработкой персональных данных.
Работодатель обязан:
1.Обеспечить наличие необходимых условий в помещении и на рабочем месте сотрудника для обеспечения конфиденциальности, при которых бы исключалось бесконтрольное использование защищаемой информации;
Для проведения контрольных мероприятий Работодатель имеет право:
- Требовать от сотрудника исполнения данного обязательства;
- Привлекать, за нарушение норм регулирующих получение, обработку, хранение, уничтожение и защиту персональных данных, сотрудника к дисциплинарной ответственности;
Срок действия обязательства совпадает со сроком окончания трудового договора. Условия настоящего обязательства носят конфиденциальный характер и разглашению не подлежат. Я предупрежден(а) о том, что в случае нарушения данного обязательства буду привлечен(а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
Работодатель: Мэр Зиминского мунципального района ________________ Н.В. Никитина (подпись)
«___»______________ 20____г.
|
Сотрудник администрации:
_____________________/_________________/
«___»______________ 20____г.
|
Приложение № 3
к Положению об обработке и защите персональных данных в администрации Зиминского районного муниципального образования
ОБРАЗЕЦ ОБЯЗАТЕЛЬСТВА О НЕРАЗГЛАШЕНИИ СВЕДЕНИЙ,
СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КОНТРАГЕНТОМ
ОБЯЗАТЕЛЬСТВО
о неразглашении сведений, содержащих персональные данные
Я, ____________________________________________________________,
(фамилия, имя, отчество)
в период действия договора №____ от __.__.20__ г. между администрацией Зиминского районного муниципального образования и _______________________, и в течение _____________ после его окончания в соответствии Положения об обработке и защите персональных данных в администрации Зиминского районного муниципального образования обязуюсь:
1) Не разглашать и не передавать третьим лицам сведения, содержащие персональные данные, которые мне будут доверены или станут известны в результате выполнения работ по договору №____ от __.__.20__ г. между администрацией Зиминского районного муниципального образования и _______________, кроме случаев, предусмотренных законодательством Российской Федерации;
2) В случае попытки посторонних лиц получить от меня сведения, содержащие персональные данные, немедленно сообщить об этом лицу, заключившему со мной договор и начальнику управления правовой, кадровой и организационной работы администрации Зиминского районного муниципального образования.
До моего сведения доведены требования Положения об обработке и защите персональных данных в администрации Зиминского районного муниципального образования, в части касающейся передачи персональных данных третьим лицам.
Мне известно, что нарушение этого обязательства может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.
________________________ _____________________
(Ф.И.О.) (подпись)
«___» _______________ 20____ г.
Приложение № 4
к Положению об обработке и защите персональных данных в администрации Зиминского районного муниципального образования
РАЗДЕЛ ДОГОВОРА О СОХРАННОСТИ СВЕДЕНИЙ,
СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
11. Сохранность персональных данных
11.1. Получатель обязуется:
обеспечить конфиденциальность получаемых персональных данных в соответствии с действующим законодательством Российской Федерации;
не предоставлять третьим лицам полученные персональные данные, кроме случаев, прямо предусмотренных действующим законодательством Российской Федерации.
11.2. Получатель обязуется использовать персональные данные только в целях _________________________________________________________________________
_________________________________________________________________________
(указывается цель обработки персональных данных получателем)
Приложение № 5
к Положению об обработке и защите персональных данных в администрации Зиминского районного муниципального образования
ОБРАЗЕЦ АКТА УНИЧТОЖЕНИЯ ДОКУМЕНТОВ,
СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
________________________
(степень конфиденциальности акта)
Экз. №___
РАЗРЕШАЮ УНИЧТОЖИТЬ
Мэр Зиминского муниципального района
Никитина Н.В.
«___» _________________2013 г.
А К Т № ___
Комиссия в составе: - _________________________________________
Члены комиссии: _______________________________________________________
_____________________________________________________________________________ отобрала на уничтожение утратившие практическое значение и не имеющие научной и исторической ценности следующие материалы с персональными данными:
№ |
Рег №, дата документа |
Наименование документа |
Количество экземпляров |
№ экз |
Листов |
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
Всего подлежит уничтожению ___ (______) наименований документальных материалов в ___ (____________) экземплярах.
Члены комиссии:
__________________________________________________
__________________________________________________
__________________________________________________
«___»___________20___ г.
Правильность произведенных записей в акте с данными учета сверил
__________________________________________________
«___»___________20___ г.
Документальные материалы перед уничтожением с записями в акте сверили и уничтожили полностью путем ____________ «___»___________20___ г.
Члены комиссии:
__________________________________________________
__________________________________________________
__________________________________________________
Отметки об уничтожении документальных материалов произвел.
___________________________________________________
«___»___________20___ г.
Приложение № 6
к Положению об обработке и защите персональных данных в администрации Зиминского районного муниципального образования
ОБРАЗЕЦ АКТА ПРИЕМА-ПЕРЕДАЧИ ДОКУМЕНТОВ,
СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Акт приема-передачи документов (иных материальных носителей),
содержащих персональные данные
Во исполнение договора на оказание услуг №______ от ______20___года,
заключенного между администрацией Зиминского районного муниципального образования, и ________________________________________________________________________________,
(наименование организации, принимающей документы (иные материальные носители), содержащие персональные данные)
администрация в лице _________________________________________________________
____________________________________________________________________________
(Ф.И.О., должность работника администрации, осуществляющего передачу персональных данных)
передает, а ___________________________________________________________________
_____________________________________________________________________________
(наименование организации, принимающей документы (иные материальные носители), содержащие персональные данные)
в лице _______________________________________________________________________ _____________________________________________________________________________
(Ф.И.О., должность представителя организации, принимающей документы (иные материальные носители), содержащие персональные данные, данные документа удостоверяющего личность)
принимает документы (иные материальные носители), содержащие персональные данные на срок __________ и в целях: ___________________________________________________ ________________________________________________________________________________
(указывается цель использования)
Перечень документов (иных материальных носителей), содержащих персональные данные
№ п/п |
Документ (носитель) |
Кол-во |
|
|
|
Всего: |
|
Полученные персональные данные могут быть использованы лишь в целях, для которых они сообщены. Незаконное использование предоставленных персональных данных путем их разглашения, уничтожения и другими способами, установленными федеральными законами, может повлечь соответствующую гражданско-правовую, материальную, дисциплинарную, административно-правовую и уголовную ответственность.
Передал: ______________________________________________________________
_____________________________________________________________________________
(Ф.И.О., должность работника администрации, осуществляющего передачу персональных данных)
Принял: _______________________________________________________
____________________________________________________________________
(Ф.И.О., должность представителя организации, принимающей документы (иные материальные носители), содержащие персональные данные)
Приложение № 7
к Положению об обработке и защите персональных данных в администрации Зиминского районного муниципального образования
ФОРМА ЖУРНАЛА УЧЕТА
ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
Администрация Зиминского районного муниципального образования
(наименование структурного подразделения)
ЖУРНАЛ
учета электронных носителей персональных данных
Начат «___» _________ ____ г.
Окончен «___» ______ ____ г.
На _______________ листах
Учетный номер |
Дата |
Вид место его хранения (размещения) |
Ответственный за использование и хранение |
Опись файлов, содержащихся на носителе, с указанием цели обработки и категории персональных данных. |
||
Ф.И.О. |
подпись |
дата |
||||
1 |
2 |
3 |
4 |
5 |
6 |
7. |
|
|
|
|
|
|
|
Приложение № 8
к Положению об обработке и защите персональных
данных в администрации Зиминского районного
муниципального образования
ФОРМА ЖУРНАЛА УЧЕТА ЗАПРОСОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБРАБОТКИ ИНФОРМАЦИИ
Администрация Зиминского районного муниципального образования
(наименование структурного подразделения)
ЖУРНАЛ
учета запросов персональных данных и обработки информации
Начат «___» _________ ____ г.
Окончен «___» ______ ____ г.
На _______________ листах
№ п\п |
Реквизиты запроса |
Сведения о запрашивающем лице |
Состав запрашиваемых персональных данных |
Цель получения персональных данных |
Отметка о передаче или отказе в передаче персональных данных |
Дата передачи/отказа в передаче персональных данных |
Подпись запрашивающего лица |
Подпись ответственного сотрудника |
Место хранения запроса (дело, страница) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|