ПОЛОЖЕНИЕ
об обработке и защите персональных данных
работников Администрации ЗАТО Сибирский и граждан,
обратившихся в Администрацию ЗАТО Сибирский
1. Общие положения
Настоящее Положение об обработке и защите персональных данных работников Администрации ЗАТО Сибирский и граждан, обратившихся в Администрацию ЗАТО Сибирский (далее - Положение в соответствующем падеже), разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - № 152-ФЗ), Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 29.07.2004 № 98-ФЗ «О коммерческой тайне», Федеральным законом Российской Федерации от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» и другими действующими нормативно-правовыми актами Российской Федерации.
Цель Положения – определить порядок обеспечения защиты прав и свобод при обработке персональных данных работников Администрации ЗАТО Сибирский, а также граждан, обратившихся в Администрацию ЗАТО Сибирский, и установить ответственность должностных лиц, имеющих доступ к этим персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Правила обработки и использования персональных данных устанавливаются отдельными распорядительными документами Администрации ЗАТО Сибирский и органов Администрации ЗАТО Сибирский.
Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом. Учитывая массовость и единое место обработки и хранения, соответствующий гриф ограничения не ставится.
Работники Администрации ЗАТО Сибирский и органов Администрации ЗАТО Сибирский, ответственные за работу с персональными данными, должны быть ознакомлены под роспись с настоящим Положением, со всеми дополнениями и изменениями к нему (приложение 1).
2. Понятие персональных данных
2.1. Персональные данные работника – это любая информация, относящаяся прямо или косвенно к работнику Администрации ЗАТО Сибирский в связи с трудовыми отношениями.
2.2. Персональные данные граждан – это любая информация, относящаяся прямо или косвенно к гражданину, обратившемуся в Администрацию ЗАТО Сибирский, необходимая Администрации ЗАТО Сибирский для взаимодействия.
2.3. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.6. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.7. Обезличивание персональных данных - обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.8. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.10. Конфиденциальность персональных данных – обязательное для соблюдения Администрацией ЗАТО Сибирский, органом Администрации ЗАТО Сибирский или иным, получившим доступ к персональным данным лицом, требование не допускать их распространение без согласия работника (обратившегося гражданина) или наличия иного законного основания.
Обеспечение конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
2.11. Перечень персональных данных работников Администрации ЗАТО Сибирский, перечень персональных данных граждан, обратившихся в Администрацию ЗАТО Сибирский представлены в приложениях 2, 3.
3. Сбор и обработка персональных данных
3.1. Обработка персональных данных работника Администрации ЗАТО Сибирский, органа Администрации ЗАТО Сибирский и граждан, обратившихся в Администрацию ЗАТО Сибирский (далее – работник, гражданин), может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2. При определении объема и содержания обрабатываемых персональных данных работника (обратившегося гражданина) необходимо руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.
3.3. Все персональные данные работника (обратившегося гражданина) следует получать у него лично с его письменного согласия (приложения 4, 5).
3.4. Если персональные данные работника (обратившегося гражданина) возможно получить только у третьей стороны, то работник (обратившийся гражданин) должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие.
3.5. Согласия работника (обратившегося гражданина) на обработку его персональных данных не требуется в следующих случаях:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Администрацию ЗАТО Сибирский функций, полномочий и обязанностей;
- обработка персональных данных осуществляется в связи с участием работника (гражданина) в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию работника (гражданина) на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является работник (гражданин), а также для заключения договора по инициативе работника (гражданина) или договора, по которому работник (гражданин) будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника (гражданина), если получение согласия работника (гражданина) невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов Администрации ЗАТО Сибирский или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина (работника);
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы работника (гражданина);
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 № 152-ФЗ, при условии обязательного обезличивания персональных данных;
- обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31.07.2020 № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;
- персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.6. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, орган (подразделение), служебные телефоны и адрес электронной почты. Другие персональные данные (например, дата рождения и т.д.) могут включаться в справочники только с письменного согласия работника (обратившегося гражданина).
3.7. Допускается привлекать для обработки персональных данных уполномоченные организации на основе соответствующих договоров и
соглашений. В случае если Администрация ЗАТО Сибирский или орган Администрации ЗАТО Сибирский на основании договора поручает обработку персональных данных другому лицу, то существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
3.8. При обработке персональных данных в информационной системе
должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение несанкцио¬ни¬рованного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
3.9. Все меры конфиденциальности при сборе, обработке и хранении персональных данных работника (обратившегося гражданина) распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.10. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу.
3.11. В случае выявления неправомерной обработки персональных данных, осуществляемой Администрацией ЗАТО Сибирский или лицом, действующим по поручению Администрации ЗАТО Сибирский, Администрация ЗАТО Сибирский в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Администрации ЗАТО Сибирский. В случае, если обеспечить правомерность обработки персональных данных невозможно, Администрация ЗАТО Сибирский в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Администрация ЗАТО Сибирский обязана уведомить работника (гражданина) или его представителя, а в случае, если обращение работника (гражданина) или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.12. В случае отзыва работником (гражданином) согласия на обработку его персональных данных Администрация ЗАТО Сибирский обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации ЗАТО Сибирский) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации ЗАТО Сибирский) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является работник (гражданин), иным соглашением между Администрацией ЗАТО Сибирский и работником (гражданином) либо если Администрация ЗАТО Сибирский не вправе осуществлять обработку персональных данных без согласия работника (гражданина) на основаниях, предусмотренных № 152-ФЗ или другими федеральными законами.
4. Хранение, доступ и защита персональных данных
4.1. Персональные данные работников (обратившихся граждан) могут храниться в бумажном и (или) электронном виде с соблюдением предусмотренных нормативных правовых актов Российской Федерации и мер по защите персональных данных.
4.2. Руководители органов Администрации, в которых происходит обработка персональных данных, должны обеспечить защиту и конфиденциальность обрабатываемых персональных данных.
4.3. Персональные данные подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
4.4. Работники Администрации ЗАТО Сибирский, органов Администрации ЗАТО Сибирский, имеющие доступ к персональным данным, обязаны принимать и соблюдать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
4.5. Доступ к персональным данным имеют в рамках своих должностных обязанностей:
- Глава ЗАТО;
- первый заместитель Главы Администрации;
- заместители Главы Администрации;
- должностные лица Администрации ЗАТО Сибирский (только к тем персональным данным, которые необходимы для выполнения конкретных функций этих должностных лиц);
- сам работник (только к своим персональным данным).
4.6. Иные работники Администрации ЗАТО Сибирский могут иметь доступ к персональным данным работников (обратившихся граждан) в соответствии с изданными распоряжениями, приказами или иными разрешительными документами.
4.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников Администрации ЗАТО Сибирский, органов Администрации ЗАТО Сибирский и граждан, обратившихся в Администрацию ЗАТО Сибирский (приложение 6).
4.8. Работа с персональными данными лиц, не включенных в разрешительные документы, не допускается.
4.9. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
4.10. Все документы на бумажных носителях, содержащие персональные данные, должны храниться в местах, защищенных от несанкционированного доступа.
4.11. Доступ к электронным носителям, содержащим персональные данные, обеспечивается разграничением прав доступа к ИСПДн, а также системой паролей.
4.12. Обмен персональными данными при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.13. Размещение ИСПДн, специальное оборудование и охрана помещений, в которых осуществляется обработка информации конфиденциального характера, персональных данных, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения в эти помещения посторонних лиц.
5. Передача и уничтожение персональных данных
5.1. Передача персональных данных может допускаться только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
5.2. Не допускается сообщать третьей стороне персональные данные работника (обратившегося гражданина) без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (обратившегося гражданина), а также в случаях, установленных законодательством Российской Федерации.
5.3. Не допускается сообщать персональные данные работника (обратившегося гражданина) в коммерческих целях без его письменного согласия.
5.4. В Администрации ЗАТО Сибирский, органах Администрации ЗАТО Сибирский, где обрабатываются персональные данные работников (обратившихся граждан), необходимо вести журнал учёта выданных в Администрации ЗАТО Сибирский (органе Администрации ЗАТО Сибирский) персональных данных (приложение 7). В этом журнале регистрируются сведения о лице или органе, направившем запрос, содержание запроса, перечень переданных данных, дата передачи персональных данных или дата уведомления об отказе передачи персональных данных, а также фамилия, имя и отчество исполнителя запроса.
5.5. При передаче персональных данных работников (обратившихся граждан) третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные обязаны соблюдать режим конфиденциальности. Исключение составляет обмен персональными данными в порядке, установленном действующим законодательством.
5.6. Передача персональных данных работников (обратившихся граждан) в пределах Администрации ЗАТО Сибирский осуществляется в соответствии с нормативными актами (должностные инструкции работников, правила работы с Интернет, электронной почтой и др.).
5.7. Не допускается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.8. Администрация ЗАТО Сибирский освобождается от обязанности предоставить работнику (гражданину) сведения, предусмотренные частью 3 статьи 18 № 152-ФЗ, в случаях, если:
- работник (гражданин) уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены Администрацией ЗАТО Сибирский на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является работник (гражданин);
- обработка персональных данных, разрешенных работником (гражданином) для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 № 152-ФЗ;
- Администрация ЗАТО Сибирский осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы работника (гражданина);
- предоставление работнику (гражданину) сведений, предусмотренных частью 3 статьи 18 № 152-ФЗ, нарушает права и законные интересы третьих лиц.
5.9. Работник (обратившийся гражданин) вправе обратиться в Администрацию ЗАТО Сибирский, орган Администрации ЗАТО Сибирский для получения сведений о соблюдении его законных прав по защите персональных данных. Обращения регистрируются в журнале учёта обращений субъектов персональных данных о выполнении их законных прав в Администрации ЗАТО Сибирский (органе Администрации ЗАТО Сибирский) (приложение 8).
5.10. Администрация ЗАТО Сибирский обязана предоставить безвозмездно работнику (гражданину) или его представителю возможность ознакомления с персональными данными, относящимися к этому работнику (гражданину). В срок, не превышающий семи рабочих дней со дня предоставления работником (гражданином) или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Администрация ЗАТО Сибирский обязана внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления работником (гражданином) или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Администрация ЗАТО Сибирский обязана уничтожить такие персональные данные. Администрация ЗАТО Сибирский обязана уведомить работника (гражданина) или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого работника (гражданина) были переданы.
6. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
6.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
6.2. Работники Администрации ЗАТО Сибирский, органов Администрации ЗАТО Сибирский, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
6.3. Руководитель, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
6.4. Каждый работник Администрации ЗАТО Сибирский, органа Администрации ЗАТО Сибирский, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
6.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников (обратившихся граждан), несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
6.6. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Глава ЗАТО, руководитель органа Администрации ЗАТО Сибирский вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.
6.7. Работники, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации, влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
6.8. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с законодательством РФ.
6.9. Неправомерность деятельности Администрации ЗАТО Сибирский и органов Администрации ЗАТО Сибирский по сбору и использованию персональных данных может быть установлена в судебном порядке.