Об утверждении Положения о работе с персональными данными
advertisement
Кирсановское муниципальное казенное учреждение «Многофункциональный центр предоставления государственных и муниципальных услуг» ПРИКАЗ «10 » января 2014 г. №7 Об утверждении Положения о работе с персональными данными работников КМКУ «МФЦ» и Положения о работе с персональными данными физических лиц, обращающихся к работникам МФЦ за предоставлением услуг по принципу «одного окна». В соответствии с Конституцией РФ, с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» ПРИКАЗЫВАЮ:: 1. Утвердить Положение о работе с персональными данными работников КМКУ «МФЦ» (Приложению №1). 2. Утвердить Положение о работе с персональными данными физических лиц, обращающихся к работникам КМКУ «МФЦ» за предоставлением услуг по принципу «одного окна» (Приложение № 2). 3. Утвердить список должностей работников КМКУ «МФЦ», имеющих доступ к персональным данным (Приложение №З). 4. Ответственным за передачу персональных данных работников третьим лицам и ведение журнала учета выданных персональных данных работников, назначить администратора (Захарову О.В.). 5. Утвердить Правила работы с обезличенными персональными данными КМКУ «МФЦ» (Приложение № 4). 6. Ознакомить работников КМКУ «МФЦ» с настоящим приказом под роспись лиц, работающих с персональными данными. 7. Контроль за исполнением настоящего приказа оставляю за собой. Директор КМКУ «МФЦ» Н.Ю. Щербакова ПРИЛОЖЕНИЕ № 1 УТВЕРЖДЕНО приказом КМКУ «МФЦ» от 10.01.2014 №7 Положение о работе с персональными данными работников КМКУ «МФЦ» 1. Общие положения 1.1.Настоящее Положение регулирует отношения, связанные с обработкой персональных данных, включающие в себя производимые работодателем действия по получению, хранению, комбинированию, передаче персональных данных работника или иному их использованию, с целью защиты персональных данных работника от несанкционированного доступа, а также неправомерного их использования и утраты. 1.2.Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, определяющими случаи и особенности обработки персональных данных. 1.3.Положение утверждается и вводится в действие приказом директора КМКУ «МФЦ» и является обязательным для исполнения всеми работниками учреждения, имеющими доступ к персональным данным. 2. Получение и хранение персональных данных работника 2.1.Все персональные данные, необходимые в связи с трудовыми отношениями, получают непосредственно у работника. 2.2.Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. При этом необходимо сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. 2.3.Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование. 2.4.Персональные данные работника обрабатываются и хранятся у инспектора по кадрам. 2.5.Персональные данные работников могут храниться в бумажном виде - личных делах, папках, прошитых и пронумерованных. Личные дела находятся у инспектора по кадрам в специальном шкафу, обеспечивающем защиту от несанкционированного доступа. 2.6.Персональные данные работников могут храниться также в электронном виде на локальной компьютерной сети. Доступ к базам данных, содержащим информацию о персональных данных работников, обеспечивается системой паролей. 2.7.Для незамедлительного восстановления персональных данных, уничтоженных вследствие несанкционированного доступа к ним, необходимо наличие копии на электронном носителе. 3. Использование и передача персональных данных работника 3.1.Персональные данные работника используются выполнением им трудовых функций. в целях, связанных с 3.2.Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда работнику, затруднения реализации его прав и свобод. 3.3.На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом. 3.5.При сообщении персональных данных работника третьему лицу, необходимо получение письменного согласия работника. 3.6.В организации работодателя ведется журнал учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана. 3.7.Если лицо, обратившееся с запросом, не уполномочено на получение информации, относящейся к персональным данным работника, ему отказывается в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника. 4. Защита персональных данных 4.1.Работодателем, получающим доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, когда обеспечение конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных. 4.2.Работа с персональными данными работника организовывается в строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. 4.3.Лица, имеющие доступ к персональным данным работника, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения. 4.4.Все меры конфиденциальности распространяются как на бумажные, так и на электронные носители информации. 4.5.Система защиты конфиденциальных сведений предусматривает проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними. 4.6.Необходимо вести журнал учета и инструктажа лиц, допущенных к работе с персональными данными. 4.7.Для поддержания более высокого уровня безопасности персональных данных работников, заместитель директора один раз в квартал должен проводить инструктаж с начальниками отделов и работниками аппарата управления с росписью в журнале. 4.8.В течение рабочего дня инспектор по кадрам должен контролировать помещение, в котором хранятся персональные данные работников. 4.9.Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом. 5. Права и обязанности работников в целях обеспечения защиты их персональных данных 5.1.Работники должны быть ознакомлены с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в целях обеспечения защиты персональных данных. 5.2.В целях защиты персональных данных, хранящихся у работодателя, работник имеет право: - требовать исключения или исправления неверных или неполных персональных данных; - на свободный бесплатный доступ к своим персональным данным; - на сохранение и защиту своей личной и семейной тайны; - обжалование в суде любых неправомерных действий или бездействия организации при обработке и защите его персональных данных. 5.3.Работник обязан: - передать работодателю или его представителю достоверные, документированные персональные данные, состав которых установлен Трудовым кодексом РФ; - своевременно сообщать работодателю об изменении своих персональных данных. 6. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными 6.1. Каждый сотрудник, работающий с конфиденциальной информацией, несет персональную ответственность за её сохранность. 6.2.Лица, виновные в нарушении норм, регулирующих обработку, хранение, передачу и защиту персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. ПРИЛОЖЕНИЕ № 2 УТВЕРЖДЕНО приказом КМКУ «МФЦ» от 10.01.2014 №7 Положение о работе с персональными данными физических лиц, обращающихся к работникам КМКУ «МФЦ» за предоставлением услуг по принципу «одного окна» 1. Общие положения 1.1.Настоящее Положение регулирует отношения, возникающие в процессе сбора, хранения, использования и уничтожения персональных данных физических лиц, обращающихся к работникам КМКУ «МФЦ» за предоставлением услуг по принципу «одного окна». 1.2.Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, определяющими случаи и особенности обработки персональных данных. 1.3.Положение утверждается и вводится в действие приказом директора КМКУ «МФЦ» и является обязательным для исполнения всеми работниками учреждения, имеющими доступ к персональным данным. 2. Обработка персональных данных 2.1.Под обработкой персональных данных понимается их получение, хранение, комбинирование, передача или любое другое использование. 2.2.Обработке подлежат персональные данные лиц, обращающихся за предоставлением услуг по принципу «одного окна» , в пределах, определенных доверенностью. 2.3. Запрос заявителя на организацию предоставления услуг работниками КМКУ «МФЦ» по принципу «одного окна» приравнивается к согласию такого заявителя с обработкой его персональных данных в КМКУ «МФЦ», органах государственной власти, органах местного самоуправления, иных организациях и учреждениях, участвующих в предоставлении услуг по принципу «одного окна», в целях и объеме, необходимых для предоставления услуг по принципу «одного окна». 2.4.Персональные данные следует получать у лица, которому они принадлежат. 2.5.Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации их прав и свобод. 2.6.Для передачи персональных данных лиц, обращающихся за предоставлением услуг по принципу «одного окна», третьим лицам необходимо, в обязательном порядке, наличие их письменного согласия. 2.7.Персональные данные посетителей обрабатываются и хранятся в юридическом отделе. 2.8.Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование. 2.9.Хранение персональных данных заявителей осуществляется работниками КМКУ «МФЦ» до завершения предоставления им услуг по принципу «одного окна». 3. Защита персональных данных 3.1.Работа с персональными данными лиц, обращающихся за предоставлением услуг по принципу «одного окна», организовывается в строгом соответствии с требованиями законодательства. 3.2.Сотрудники учреждения, работающие с персональными данными посетителей, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера, должны предусматриваться соответствующие меры безопасности для защиты персональных данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения. 3.3.Система защиты конфиденциальных сведений предусматривает проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними. 3.4.Для обеспечения безопасности персональных данных и в целях исключения несанкционированного, в том числе случайного, доступа к ним, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий, необходимо производить опечатывание помещения, где хранятся персональные данные. 3.5.В целях своевременного обнаружения фактов несанкционированного доступа к персональным данным, следует вести журнал вскрытия и закрытия сейфов. 3.6.Необходимо вести журнал учета и инструктажа лиц, допущенных к работе с персональными данными 3.7.Необходимо наличие журнала приема и сдачи под охрану ключей и служебных помещений 3.8.В целях исключения возможности неконтролируемого проникновения или пребывания в помещении, где ведется работа с персональными данными, посторонних лиц, вскрытие помещения производит инженер - программист, делая отметку в журнале приема и сдачи под охрану ключей и служебных помещений. 3.9. Инженер - программист опечатывает и сдает помещение под охрану, делая отметку в журнале приема и сдачи под охрану ключей и служебных помещений. 3.10.Для обеспечения безопасности персональных данных при их обработке в информационных системах, на персональных компьютерах должны быть установлены пароли. 3.11. Документы на бумажных носителях, содержащие персональные данные, должны храниться в индивидуальных сейфах. 3.12. Для возможности незамедлительного восстановления персональных данных, уничтоженных вследствие несанкционированного доступа к ним, необходимо наличие копии на электронном носителе. 3.13.Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные носители информации. 3.14.В течение рабочего дня инженер - программист должен контролировать помещение, в котором хранятся персональные данные, чтобы избежать проникновения в него посторонних лиц. 3.15.Еженедельно инженер - программист должен осуществлять контроль за обеспечением сохранности документов, содержащих персональные данные, и делать отметку в журнале учета и инструктажа лиц, допущенных к работе с персональными данными. 3.16.Для поддержания более высокого уровня безопасности персональных данных, инженер - программист должен, не реже одного раза в месяц, проводить инструктаж с работниками по обработке, хранению, передаче персональных данных и сохранению конфиденциальности сведений. 4. Права и обязанности заявителей в целях обеспечения защиты их персональных данных 4.1.В целях защиты персональных данных, хранящихся у работников, заявитель имеет право: - требовать исключения или исправления неверных или неполных персональных данных; - на свободный бесплатный доступ к своим персональным данным; - на сохранение и защиту своей личной и семейной тайны; - обжалование в суде любых неправомерных действий или бездействия организации при обработке и защите его персональных данных. 4.2.3аявитель обязан: передать работнику достоверные, документированные персональные данные, необходимые в пределах предоставления услуг по принципу «одного окна»; – своевременно сообщать об изменении своих персональных данных. 5. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными 5.1.Каждый сотрудник, работающий с конфиденциальной информацией, несет персональную ответственность за её сохранность. 5.2.Лица, виновные в нарушении норм, регулирующих обработку, хранение, передачу и защиту персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.