в области обработки и хранения персональных данных субъектов
advertisement
МП «Водоканал города Рязани» УТВЕРЖДЕНО Приказом по основной деятельности От 22 марта 2012 г. № 165 ПОЛИТИКА МП «Водоканал города Рязани» в области обработки и хранения персональных данных субъектов 2012 СОДЕРЖАНИЕ 1. Общие положения 3 2. Основные понятия и состав персональных данных 3 3. Обработка персональных данных 5 4. Хранение персональных данных субъекта 7 5. Доступ, передача, комбинирование персональных данных субъекта. 7 6. Организация защиты персональных данных. 8 7. Права участников обработки персональных данных. 8 8. Заключительные положения. 9 2 1. Общие положения Настоящая Политика МП «Водоканал города Рязани» (далее – Предприятие) в области организации обработки и хранения персональных данных разработана в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Цель разработки Политики Предприятия— информация о работе с персональными данными субъектов, как работников, состоящих в трудовых отношениях, так и физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Предприятием, а также документах определяющих порядок обработки и хранение персональных данных субъектов, определение полномочий сотрудников, допущенных к обработке персональных данных субъектов, установление ответственности должностных лиц, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. 2.Основные понятия и состав персональных данных В тексте используются следующие основные понятия: Субъект персональных данных - любая информация, относящаяся к определенному лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Предприятию для выполнения функций определенных законодательной базой РФ, внутренней документацией, а также целями обработки персональных данных указанных в «Перечне персональных данных, обрабатываемых в МП «Водоканал города Рязани». Законный представитель - в РФ гражданин, который вправе в силу закона выступать во всех органах, в т.ч. судебных, в защиту личных и имущественных прав и законных интересов недееспособных граждан, граждан, не обладающих полной дееспособностью, и граждан, признанных ограниченно дееспособными. Законными представителями могут быть родители, усыновители, опекуны или попечители представляемых граждан. Законный представитель обладает статусом только в силу закона, поэтому представляет лишь документы (паспорт, решение об установлении усыновления, решение об установлении опеки и попечительства, свидетельство о рождении и др.), подтверждающие его основанное на законодательстве право выступать в качестве законного представителя. Обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных субъектов; Конфиденциальность персональных данных обязательное соблюдение ответственного лица, получившего доступ к персональным данным субъектов, требования не допускать их распространения без согласия субъекта или иного законного основания; Распространение персональных данных - действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным лиц каким-либо иным способом; Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Предприятия в целях принятия решений или 3 совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц; Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи; Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители персональных данных субъектов; Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту; Общедоступные персональные данные персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Информация - сведения (сообщения, данные) независимо от формы их представления. 2.1. К документам и материалам, содержащим персональные данные, необходимые Предприятию в связи с трудовыми отношениями относятся: Документы, предъявляемые при заключении трудового договора, предусмотренные статьей 65 ТК РФ; Документы о составе семьи работника в целях предоставления ему возможных гарантий с учетом семейного положения; Документы о состоянии здоровья работника, если в соответствии с требованиями законодательства он должен пройти предварительный и периодический медицинский осмотр; Документы, подтверждающие право на дополнительные гарантии и компенсации по определенным условиям, предусмотренным законодательством, об ученой степени и ученом звании, о почетном звании, об инвалидности, донорстве, нахождении в зоне действия радиации в связи с аварией на Чернобыльской АЭС и другие; Документы о возрасте детей и беременности женщины для предоставления установленных законом условий труда, гарантий и компенсаций; Другие документы, в предоставлении которых может возникнуть необходимость в ходе трудовой деятельности. 2.2. Обработке подлежат следующие персональные данные: Фамилия, имя, отчество (в т.ч. прежние); Год, месяц, дата и место рождения; Гражданство; Адрес регистрации (проживания) и телефон; Семейное положение (состав семьи); Паспортные данные; Образование, включая наименование учебного заведения, специальность, квалификацию; Сведения о предыдущих местах работы; Сведения о судимости; Сведения о воинском учете; Сведения о заработной плате; Сведения о социальных льготах; 4 Место работы или учебы членов семьи и родственников; Содержание трудового договора; Подлинники и копии приказов, а также основания к ним; Личное дело и трудовая книжка; Фотография; Автобиография; Личный листок по учету кадров; Медицинская справка; Дела, содержащие материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям; Копии отчетов, направляемые в органы статистики; Иные сведения по желанию работника, с которыми он считает необходимым ознакомить Предприятие. 2.3. Персональные данные работников накапливаются и хранятся как на бумажных, так и на электронных носителях. Персональные данные работника вводятся (обновляются, изменяются) в электронную базу данных программного комплекса «1С Предприятие. Зарплата + Кадры» с предоставленных работником документов и находятся в локальной сети Предприятия. Персональные данные вводятся уполномоченными работниками кадровой службы и бухгалтерии. 2.4. Обработке подлежат персональные данные физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Предприятием: - Фамилия, имя, отчество, дата и место рождения, адрес; Лицевые счета с начислениями, поступлениями и перерасчетом за прошлый период и другие необходимые документы для выполнения договорных отношений. 3. Обработка персональных данных Обработка персональных данных субъекта осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренными законодательством РФ и внутренними актами Предприятия, а также осуществления основной деятельности Предприятия. Доступ к персональным данным субъекта имеют сотрудники Предприятия, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Процедура оформления доступа к персональным данным включает в себя: наличие приказа по Предприятию о предоставлении доступа к персональным данным субъекта; ознакомление сотрудника под роспись с « Инструкцией об организации обработки и хранения персональных данных субъектов в МП «Водоканал города Рязани». При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта, с данными актами также производится ознакомление работника под роспись; наличие письменного обязательства сотрудника о неразглашении информации, содержащей персональные данные субъекта и соблюдении правил их обработки; Доступ к персональным данным субъектов без специального разрешения имеют сотрудники, занимающие в организации следующие должности: Директор Предприятия; Заместители директора Предприятия; Главный бухгалтер; Начальник отдела кадров; Сотрудники Службы безопасности; Сотрудники отдела АСУ; Сотрудники юридического отдела; 5 Сотрудники отдела кадров (только для работы с персональными данными сотрудников Предприятия); Начальники структурных подразделений, в которых обрабатываются персональные данные субъектов, в соответствии с задачами и функциями, возложенными на подразделения. Допуск к персональным данным субъектов других сотрудников Предприятия или физических лиц, состоящих с Предприятием в договорных отношениях, не имеющих надлежащим образом оформленного доступа, запрещается. Сотрудники Предприятия, имеющие доступ к персональным данным субъектов, имеют право получать только те персональные данные субъекта, которые необходимы им для выполнения конкретных трудовых функций. Все персональные данные о субъекте уполномоченные сотрудники Предприятия могут получить непосредственно от самого субъекта, а так же от его законного представителя. Предприятие не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Предприятие вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия. В случае если Предприятию оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным субъектов, то соответствующие данные предоставляются Предприятием только после подписания с ними соглашения о неразглашении конфиденциальной информации. Допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных субъекта. Сотрудникам Предприятия при принятии решений, затрагивающих интересы субъекта, запрещается основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Из чего следует, что любая информация, относящаяся к субъекту должна быть подтверждена/опровергнута самим субъектом персональных данных или его законным представителем. При получении согласия Предприятие обязано сообщить субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Субъект, согласившийся на обработку своих персональных данных в Предприятии, обязан предоставлять только достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Предприятие имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у Предприятия документами. В случаях, когда Предприятие может получить необходимые персональные данные субъекта только у третьей стороны, Предприятие должно уведомить об этом субъекта и получить от него письменное согласие по установленной форме. Согласие субъекта на получение его персональных данных от третьих лиц не требуется в случаях, установленных Федеральным законом, Инструкцией, а так же: когда согласие субъекта на передачу его персональных данных третьим лицам получено от него, в письменном виде; когда третьи лица оказывают услуги Предприятию на основании заключенных договоров. 6 4. Хранение персональных данных субъекта Персональные данные субъекта хранятся в подразделении Предприятия, которое отвечает за взаимодействие с субъектом, подшитые в дело субъекта или к документам, для обработки которых потребовалось получение согласия на обработку персональных данных. Дела, содержащие согласие на обработку персональных данных хранятся в бумажном виде в папках и находятся в сейфе или в металлическом шкафу, а также в архивных помещениях Предприятия. На папках должен быть гриф «Конфиденциально». Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Предприятия, если иное не определено законом. Персональные данные субъекта в подразделении Предприятия хранятся также в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные субъекта, обеспечивается комплексом мер предусмотренных Концепцией информационной безопасности направленных на защиту персональных данных, в том числе с обязательным соблюдением правил разграничения доступа исключающий доступ к ним третьих лиц. 5. Доступ, передача, комбинирование персональных данных субъекта. Передача (обмен и т.д.) персональных данных между подразделениями Предприятия осуществляется только между сотрудниками, имеющими доступ к персональным данным субъектов. Разрешается передавать персональные данные сотрудника в бухгалтерию и иные структурные подразделения Предприятия, в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей. В отдельных случаях (экстренных), допускается передача и обработка персональных данных субъектов в иных структурных подразделениях Предприятия, но только в присутствии лица уполномоченного на обработку персональных данных. Сотрудники Предприятия имеют право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законом), содержащей его персональные данные. Сотрудник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей. Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, которое включать в себя: фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование и адрес Предприятия, получающего согласие субъекта; цель передачи персональных данных; перечень персональных данных, на передачу которых дает согласие субъект; срок, в течение которого действует согласие, а также порядок его отзыва. Согласия субъекта на передачу его персональных данных третьим лицам не требуется в случаях: когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта; когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде, при заключении договора с Предприятием; когда третьи лица оказывают услуги Предприятию на основании заключенных договоров; а также в случаях, установленных федеральным законом. Не допускается передача персональных данных субъекта в коммерческих целях без его письменного согласия. 7 Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных субъекта несет сотрудник Предприятия, ответственный за работу с персональными данными, а также руководитель структурного подразделения, осуществляющего передачу персональных данных субъекта третьим лицам. Персональные данные передаются представителю субъекта в порядке, установленном действующим законодательством, Инструкцией, а так же «Регламентом обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных» Предприятия. Информация передается при наличии письменного заявления субъекта, написанного в присутствии работника отдела кадров или ответственного за работу с персональными данными Предприятия (если заявление написано субъектом не в присутствии сотрудника отдела кадров, то оно должно быть нотариально заверено). Предоставление персональных данных субъекта государственным органам производится в соответствии с требованиями действующего законодательства, Инструкции. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ. Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. 6. Организация защиты персональных данных. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается руководителями и сотрудниками структурных подразделений Предприятия, в которых обрабатываются персональные данные субъектов, в соответствии с задачами и функциями, возложенными на подразделения. Общую организацию защиты персональных данных лиц осуществляет сотрудник назначенный приказом по Предприятию ответственным за обеспечение безопасности персональных данных. Организацию защиты сведений, хранящихся в электронных базах данных Предприятия, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивает администратор информационной безопасности, назначенный приказом по Предприятию и сотрудник отдела автоматизации из числа администраторов сети Предприятия. Организацию и контроль по защите персональных данных физических лиц в структурных подразделениях Предприятия, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители. Защите подлежит: информация о персональных данных субъекта; документы, содержащие персональные данные субъекта; персональные данные, содержащиеся на электронных носителях. 7. Права участников обработки персональных данных. Субъект, персональные данные которого обрабатываются Предприятием, имеет право: Получать доступ к своим персональным данным и ознакомление с ними в соответствии с «Регламентом обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных» и иных нормативных актов, регулирующих порядок обработки персональных данных Предприятия. Получать от Предприятия: сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; 8 перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Предприятия при обработке и защите его персональных данных. 8. Заключение Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных субъектов, определяются также должностными инструкциями. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе, работникам Предприятия, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных Инструкцией, локальными нормативными актами (приказами, распоряжениями) Предприятия, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения. Сотрудники Предприятия, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ. 9