4.Положение обработке ПДн

Приложение №2

УТВЕРЖДЕНО

Приказом ППО «Администрация президента»

по г. Москва

от «15» сентября 2017 г.

№ ______

ПОЛОЖЕНИЕ

о персональных данных в первичной профсоюзной организации «Администрация президента» по г. Москва

Комсомольск-на-Амуре

2017

Оглавление

1 Термины и определения… 3

2 Общие положения… 4

3 Обработка персональных данных… 5

4 Защита персональных данных… 8

5 Права работников на защиту своих персональных данных… 9

6 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных… 9

7 Контроль за выполнением требований настоящего Положения… 9

1. Термины и определения

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные работников организации – информация, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника; сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело (если работники организации являются государственными гражданскими служащими).

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием или без использования таких средств.

Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

2. Общие положения

2.1. Положение о персональных данных Администрации президента России по г. Москва (далее – Положение) разработано в соответствии с: Конституцией Российской Федерации, Федеральным законом «О государственной гражданской службе Российской Федерации» от 27.07.2004 №79- ФЗ, Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, Указом Президента Российской Федерации «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» от 30.05.2005 №609 (далее – Указ Президента Российской Федерации №609), Указом Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 №188 и другими нормативными актами.

2.2. Настоящее Положение устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность начальника и работников Администрации президента России по г. Москва (далее – Инспекция).

Инспекция является оператором персональных данных.

2.3. Все права оператора по обработке (за исключением передачи, блокирования, уничтожения, обезличивания) персональных данных работников Организации, необходимые для оформления трудовых отношений, предоставляются работникам отдела кадрового обеспечения. Все остальные сотрудники допускаются к обработке персональных данных в объеме, определяемом начальником Организации.

2.4. К персональным данным, обрабатываемым в Организации, относятся:

персональные данные работников;

– персональные данные лиц, участвующих в конкурсах на замещение вакантных должностей;

– персональные данные лиц, участвующих в конкурсе на зачисление в кадровый резерв;

– персональные данные уволенных работников;

– персональные данные лиц, выполняющих поставки, работы, услуги по договорам;

– персональные данные клиентов.

2.5. Персональные данные в организации могут содержаться в следующих документах:

– личных делах работников;

– документах лиц, зачисленных в кадровый резерв;

– документах лиц, участвующих в конкурсах на замещение вакантных должностей или зачислении в кадровый резерв;

– личных делах уволенных работников;

– документах о составе семьи работника;

– документах, удостоверяющих личность;

– трудовой книжке работника;

– страховом свидетельстве государственного пенсионного страхования;

– документах воинского учета – при их наличии;

– документах и базах данных, являющихся составной частью системы оповещения;

– документах об образовании, квалификации или наличия специальных знаний или подготовки;

– медицинских справках;

– документах граждан, участвующих в конкурсе на замещение вакантной должности государственной службы в:

– документах, подтверждающих право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренных законодательством;

– документах о возрасте детей или беременности женщины для предоставления установленных законом условий труда, гарантий и компенсаций;

– платежных и других документах, предоставляемых клиентами для осуществления функций организации;

– иных документах, необходимых для определения трудовых отношений.

2.6. Персональные данные могут быть ограниченного доступа и общедоступные.

2.7. Организация обработки и защиты персональных данных возлагается на начальника Организации.

2.8. Требования настоящего Положения доводятся до всех работников Организации под роспись.

3. Обработка персональных данных

3.1. Общий порядок обработки.

3.1.1. Обработка персональных данных в отделах ведется в объеме, определяемом положениями о них.

Члены общественных организаций и комиссий, созданных для защиты прав работников и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, допускаются к сведениям, содержащим персональные данные, на основании вступивших в силу решений об их избрании. При этом они знакомятся только с теми персональными данными, которые необходимы им для выполнения возложенных на них функций.

К таким организациям и комиссиям относятся:

– профсоюзный комитет;

– ревизионная комиссия;

– комиссия по жилищно-бытовым и социальным вопросам;

– квалификационная комиссия;

– конкурсная комиссия;

– комиссии, назначаемые для проведения служебного расследования.

3.1.2. Обработка персональных данных, включаемых в личные дела работников (если работники – государственные гражданские служащие), осуществляется отделом кадрового обеспечения с соблюдением требований Указа Президента Российской Федерации №609 и (или) Трудового Кодекса Российской Федерации.

3.1.3. Начальником Организации определяются лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных (далее – уполномоченные лица).

3.2. Получение (сбор) персональных данных:

– сбор персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

– при определении объема и содержания обрабатываемых персональных данных работодатель (уполномоченное лицо) должен руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2004 года №79-ФЗ «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года «О персональных данных» №152-ФЗ, Указом Президента Российской Федерации от 30 мая 2005 года №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» и другими нормативными актами;

– все персональные данные следует получать лично у субъекта персональных данных, если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (работодатель должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение);

– запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ;

– запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

– работодатель не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, а также частной жизни – сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются;

– при принятии решений, затрагивающих интересы субъекта персональных данных, работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки;

– субъекты персональных данных и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;

– все документы, содержащие персональные данные, должны быть уничтожены установленным порядком по достижении цели, для которой они собирались и использовались;

– дела, содержащие персональные данные субъектов персональных данных, должны вестись в соответствии с требованиями действующих инструкций.

3.3. Обработка документов внутреннего пользования.

3.3.1. В Организации могут создаваться документы внутреннего использования, содержащие персональные данные работников, предназначенные для общего внутреннего пользования (телефонные справочники, справочники с днями рождений, объявления, поздравления, бирки на служебных кабинетах и т. П.). Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы, и (или) на лиц, изготовивших и разместивших их.

3.3.2. Внутренние телефонные справочники выдаются в отделы под роспись с указанием количества выданных в подразделение экземпляров. При этом старые справочники возвращаются и уничтожаются лицами, ответственными за их изготовление и выдачу.

3.3.3. Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего использования, содержащие персональные данные, запрещается.

3.3.4. Обработка персональных данных ведется работниками на рабочих местах, выделенных для исполнения ими должностных обязанностей. Членами общественных организаций и комиссий обработка персональных данных может производиться в помещениях, где происходит заседание данной общественной организации или комиссии. По окончании заседания документы, содержащие персональные данные, возвращаются в места их постоянного хранения.

3.4. Передача персональных данных:

– не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законодательством;

– внутри Организации без письменного согласия субъекта персональных данных разрешается передача (представлять) персональных данных в структурные подразделения, общественные организации и комиссии, созданные для защиты прав работников и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, необходимые им для выполнения своих функций;

– предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральным законодательством);

– разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения ими конкретных функций;

– передавать персональные данные представителям субъектов персональных данных в порядке, установленном существующим законодательством, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций;

– разрешать доступ к персональным данным представителям третьей стороны, ответственным за оповещение работников организации в соответствии с Инструкцией по оповещению организации, исключительно в случаях получения распоряжения на проведение оповещения;

– не передавать кому-либо персональные данные субъектов персональных данных в коммерческих целях без их письменного согласия;

– по заявлению субъекта персональных данных (в случае необходимости – письменному), не позднее трех дней со дня подачи этого заявления, выдавать заявителю справки и копии документов, в случаях, предусмотренных законодательством (копии документов должны быть заверены надлежащим образом и выдаваться работнику бесплатно);

– вести учет передачи персональных данных субъектов персональных данных третьим лицам путем ведения соответствующего журнала, содержащего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления работодателю), дату ответа на запрос, данные, какая именно информация была передана, или отметку об отказе в ее предоставлении, либо ограничиваться помещением в личное дело работника выписок, копий документов и т. п., отражающих сведения о поступившем запросе и результатах его рассмотрения;

– учет передачи персональных данных разрешается не производить при передаче их в случае, установленном законом, а также при внутренних передачах, которые осуществляются в соответствии с настоящим положением.

Ответ на запрос подписывается (визируется) начальником того структурного подразделения, который отвечает за достоверность содержащихся в них сведений, если иное не предусмотрено законодательством.

3.5. Общедоступные персональные данные.

3.5.1. К общедоступным источникам персональных данных в организации относятся:

– информация о должностных лицах, размещаемая в средствах массовой информации;

– информация, размещаемая на интернет-сайте.

3.5.2. Обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом производится в объеме, согласованном с работником, и с его письменного согласия.

3.5.3. Уполномоченным лицам запрещается предоставлять сведения о работниках для общедоступных источников персональных данных.

3.6. Обязанности лиц, допущенных к обработке персональных данных.

Работники, допущенные к обработке персональных данных, обязаны:

– знать и выполнять требования настоящего Положения;

– осуществлять обработку персональных данных в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, приказов Минфина России и Федерального казначейства, содействия работнику в прохождении государственной гражданской службы Российской Федерации, в обучении и должностном росте, обеспечения личной безопасности работников и членов его семьи, а также в цепях обеспечения сохранности принадлежащего ему имущества и имущества организации, учета результатов исполнения работником должностных обязанностей;

– получать персональные данные лично у работника, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;

– знакомиться только с теми персональными данными, к которым получен доступ;

– хранить в тайне известные им сведения о персональных данных, информировать своего непосредственного начальника о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;

– предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

– выполнять требования по защите полученных персональных данных работника;

– соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;

– предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения.

4. Защита персональных данных

4.1. Уполномоченные лица Организации обеспечивают конфиденциальность (защиту) персональных данных ограниченного доступа.

4.2. Защита персональных данных осуществляется выполнением комплекса организационных, организационно-технических и программных мер, определенных в «Положении о порядке организации и проведении работ по обеспечению безопасности персональных данных при их обработке в ППО «Администрации президента» по г. Москва.

4.3. Доступ к документам, содержащим персональные данные ограниченного доступа, с выдачей таковых на рабочие места без специального разрешения имеют работники, занимающие следующие должности:

– начальник Организации;

– заместители начальника Организации;

– работники отдела кадрового обеспечения, ответственных за обработку персональных данных в соответствии с их должностным регламентом;

– работники отдела безопасности.

4.4. Доступ к персональным данным, обрабатываемым в Организации без специального разрешения с ознакомлением в присутствии работников, ответственных за их обработку, имеют работники, занимающие следующие должности:

– начальники отделов – в отношении работников, числящихся в соответствующих отделах;

– члены комиссий организации и председатель профсоюзного комитета первичной организации – в отношении персональных данных работников, необходимых им для выполнения своих функций.

4.5. Начальники отделов имеют доступ ко всем документам, обрабатываемым сотрудниками отдела, содержащим персональные данные.

4.6. Организацию защиты персональных данных в отделах обеспечивают их начальники.

4.7. Организация защиты персональных данных в локальной вычислительной сети организации осуществляется в рамках действующей в организации системы защиты информации в автоматизированных системах.

4.8. Помещения для работы с персональными данными.

4.8.1. Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.

4.8.2. Документы, содержащие персональные данные, должны храниться в надежно запираемых хранилищах. Допускается хранение документов в не закрывающихся шкафах при условии, что бесконтрольный доступ посторонних лиц к данным хранилищам исключен.

4.8.3. По окончании рабочего времени помещения, предназначенные для обработки персональных данных, а также шкафы (ящики, хранилища) должны быть закрыты на ключ. Шкафы, в которых хранятся личные дела, трудовые книжки и карточки, формы 2ГС и Т2 работников, по окончании рабочего дня опечатываются.

4.8.4. Ключи от помещений опечатываются, сдаются ответственными работниками под охрану, с отметкой в Журнале приема-сдачи служебных помещений. В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся персональные данные, а также помещений, где находятся средства вычислительной техники, предназначенные для обработки персональных данных, находятся на хранении у ответственных сотрудников.

5. Права работников на защиту своих персональных данных

В целях обеспечения защиты своих персональных данных работники имеют право:

– получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

– осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных Федеральным законом;

– требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона (работник при отказе начальника Организации или уполномоченного им лица исключить или исправить персональные данные имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);

– требовать от начальника Организации или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;

– обжаловать в суде любые неправомерные действия или бездействие начальника Организации или уполномоченного им лица при обработке и защите персональных данных;

– вносить предложения по мерам защиты своих персональных данных.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Уполномоченные лица несут ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.

6.2. Лица, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.

6.3. Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц.

6.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7. Контроль за выполнением требований настоящего

Положения

7.1. Повседневный контроль за порядком обращения с персональными данными осуществляют начальники отделов Организации.

7.2. Периодический контроль за выполнением настоящего Положения возлагается на начальника отдела безопасности, либо администратора безопасности персональных данных.

Заместитель начальника

отдела безопасности А. А. Злой

Лист ознакомления сотрудников

с Положением об обработке персональных данных

в Администрации президента по г. Москва

___________________________________________________

(наименование структурного подразделения)

№ п/п Фамилия, имя, отчество работника Дата ознакомления с Положением Подпись работника

1 Литарова Ольга Николаевна 15.09.2016

2 Созинова Елена Георгиевна 15.09.2016

3 Павличенко Анна Анатольевна 15.09.2016

4 Артамонова Ляля Саматовна 15.09.2016

5 Быкова Надежда Евгеньевна 15.09.2016

6 Шишаева Елена Гуновна 15.09.2016

7 Шарапова Елена Александровна 15.09.2016

8 Родина Татьяна Николаевна 15.09.2016

9 Дюк Марина Алексеевна 15.09.2016

10 Богачев Артем алексеевич 15.09.2016

11 Злой Андрей Андреевич 15.09.2016

12 Тереньтев Александр Павлович 15.09.2016

13 Поздеев Николай Борисович 15.09.2016

14 Усиков Андрей Владимирович 15.09.2016

15 Костина Наталья Витальевна 15.09.2016

16 Черный Никита Сергеевич 15.09.2016