ПОЛИТИКА
безопасности персональных данных, обрабатываемых в Совете
городского округа город Октябрьский
Республики Башкортостан
безопасности персональных данных, обрабатываемых в Совете
городского округа город Октябрьский
Республики Башкортостан
1. Общие положения
1.1. Настоящая Политика безопасности персональных данных, обрабатываемых в Совете городского округа город Октябрьский Республики Башкортостан (далее - политика), определяет порядок создания, обработки и защиты персональных данных, обрабатываемых в Совете городского округа город Октябрьский Республики Башкортостан (далее – Оператор).
1.2. Настоящая политика разработана в соответствии с:
Конституцией Российской Федерации,
Трудовым кодексом Российской Федерации,
Федеральный закон от 06 октября 2003 года № 131-Ф3 «Об общих принципах организации местного самоуправления в Российской Федерации»,
Федеральный закон от 02 марта 2007 года № 25-ФЗ «О муниципальной службе в РФ»,
Федеральный закон от 25 декабря 2008 года № 273-Ф3 «О противодействии коррупции»,
Федеральный закон от 27 июля 2010 года № 210-ФЗ «Об организации представления государственных и муниципальных услуг»
Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»,
Федеральным законом от 9 февраля 2009 года № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»,
Указом Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»,
Постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»,
Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»,
Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Оператор обрабатывает персональные данные в целях предоставления муниципальных услуг, регулирования трудовых отношений и иных непосредственно связанных с ними отношений с работниками Оператора, рассмотрения обращений граждан, осуществления гражданско-правовых отношений, выполнения иных задач, возложенных на Оператора в соответствии с законодательством.
1.4. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.
1.5. Настоящая политика действует в отношении всех персональных данных, обрабатываемых Оператором.
1.6.Категории субъектов персональных данных, обрабатываемых Оператором:
депутаты Совета городского округа город Октябрьский Республики Башкортостан;
работники Оператора, бывшие работники Оператора;
близкие родственники депутатов и муниципальных служащих (супруг (-а), дети, родители) Оператора;
граждане, претендующие на замещение муниципальных должностей и должностей муниципальной службы, подавшие документы на участие в конкурсе и для формирования кадрового резерва;
граждане, обратившиеся с обращением (жалобой или заявлением);
граждане, состоящие в договорных гражданско-правовых отношениях с Оператором;
иные лица, связанные с исполнением Оператором муниципальных функций по решению вопросов местного значения, определенных Уставом городского округа город Октябрьский Республики Башкортостан.
1.7. Настоящая политика действует в отношении всех персональных данных, обрабатываемых Оператором.
1.8. Персональные данные относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны.
1.2. Настоящая политика разработана в соответствии с:
Конституцией Российской Федерации,
Трудовым кодексом Российской Федерации,
Федеральный закон от 06 октября 2003 года № 131-Ф3 «Об общих принципах организации местного самоуправления в Российской Федерации»,
Федеральный закон от 02 марта 2007 года № 25-ФЗ «О муниципальной службе в РФ»,
Федеральный закон от 25 декабря 2008 года № 273-Ф3 «О противодействии коррупции»,
Федеральный закон от 27 июля 2010 года № 210-ФЗ «Об организации представления государственных и муниципальных услуг»
Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»,
Федеральным законом от 9 февраля 2009 года № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»,
Указом Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»,
Постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»,
Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»,
Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Оператор обрабатывает персональные данные в целях предоставления муниципальных услуг, регулирования трудовых отношений и иных непосредственно связанных с ними отношений с работниками Оператора, рассмотрения обращений граждан, осуществления гражданско-правовых отношений, выполнения иных задач, возложенных на Оператора в соответствии с законодательством.
1.4. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.
1.5. Настоящая политика действует в отношении всех персональных данных, обрабатываемых Оператором.
1.6.Категории субъектов персональных данных, обрабатываемых Оператором:
депутаты Совета городского округа город Октябрьский Республики Башкортостан;
работники Оператора, бывшие работники Оператора;
близкие родственники депутатов и муниципальных служащих (супруг (-а), дети, родители) Оператора;
граждане, претендующие на замещение муниципальных должностей и должностей муниципальной службы, подавшие документы на участие в конкурсе и для формирования кадрового резерва;
граждане, обратившиеся с обращением (жалобой или заявлением);
граждане, состоящие в договорных гражданско-правовых отношениях с Оператором;
иные лица, связанные с исполнением Оператором муниципальных функций по решению вопросов местного значения, определенных Уставом городского округа город Октябрьский Республики Башкортостан.
1.7. Настоящая политика действует в отношении всех персональных данных, обрабатываемых Оператором.
1.8. Персональные данные относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны.
2. Основные понятия, используемые в настоящей политике
Для целей настоящей Политики применяются следующие термины и определения:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - муниципальный орган, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) конфиденциальность персональных данных - операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
12) несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
13) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральным законодательством не распространяется требование соблюдения конфиденциальности.
3. Общие принципы и условия обработки
персональных данных
3.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и условий, предусмотренных настоящей политикой и законодательством Российской Федерации в области персональных данных.
3.2. Обработка персональных данных осуществляется на основе следующих принципов:
1) обработка персональных данных на законной и справедливой основе;
2) обработка персональных данных ограничиваться достижением конкретных, заранее определенных и законных целей;
3) не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
4) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5) обработке подлежат только персональные данные, которые отвечают целям их обработки;
6) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
7) обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
8) обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
9) принятие оператором необходимых мер либо обеспечение их принятие по удалению или уточнению неполных или неточных данных;
10) хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом
11) обеспечение необходимых условий для беспрепятственной реализации субъектом персональных данных своих прав.
3.3. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для исполнения полномочий органов местного самоуправления и функций организаций, участвующих в предоставлении муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
4) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
5) обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
6) обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных;
8) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
9) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.4. В целях обеспечения прав и свобод субъекта персональных данных Оператор и его представители при обработке персональных данных обязаны соблюдать общие требования:
1. Обработка персональных данных может осуществляться исключительно в целях оказания муниципальных услуг и осуществления муниципальных функций для исполнения возложенных полномочий на Оператора.
2. Обработка персональных данных работников Оператора может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов с учетом положений Федерального закона «О персональных данных», оформления трудовых отношений, расчета и выдачи заработной платы или других доходов, налоговых и пенсионных отчислений, содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя.
3. Все персональные данные следует получать у субъекта персональных данных или у его полномочного представителя. Все персональные данные работника работодатель должен получать у него самого. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
4. При определении объема и содержания, обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации представления государственных и муниципальных услуг», законодательством Российской Федерации в сфере защиты персональных данных и обработки информации, иными нормативными правовыми актами в области защиты персональных данных.
5. Оператор не имеет права получать и обрабатывать персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».
6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Решение, порождающее юридические последствия в отношении субъекта персональных данных, или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных, или в случаях, предусмотренных федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
7. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
8. Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
9. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором за счет своих средств, в порядке, установленном федеральным законодательством и другими нормативными документами.
10. Работники Оператора или их представители должны быть ознакомлены под личную подпись с документами Оператора, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.5. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных», на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия муниципальным органом соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
3.6. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
3.7. В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
4. Получение персональных данных
4.1. Получение персональных данных преимущественно осуществляется путем представления их самим субъектом персональных данных, на основании его письменного согласия, за исключением случаев прямо предусмотренных действующим законодательством Российской Федерации.
4.2. В случаях, предусмотренных федеральным законодательством, обработка персональных данных осуществляется только с согласия физического лица в письменной форме.
Равнозначным содержащему собственноручную подпись физического лица и работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом «О персональных данных» электронной подписью.
4.3. Согласие субъекта персональных данных в письменной форме на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование и адрес Оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законодательством;
9) подпись субъекта персональных данных.
Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
В случае недееспособности физического лица или недостижения физическим лицом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
4.4. В случае необходимости проверки персональных данных Оператор заблаговременно должен сообщить об этом субъекту персональных данных, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
4.5. Обработка персональных данных работника Оператора не требует получения соответствующего согласия в случаях:
1) если объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством;
2) предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном статьей 372 Трудового кодекса Российской Федерации;
3) если обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации;
4) обработки персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05 января 2004 года №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», законодательством о муниципальной службе либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат). В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных;
5) обработки специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений пункта 2.3 части 2 статьи 10 Федерального закона «О персональных данных» в рамках трудового законодательства;
6) при передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
7) при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25 апреля 1997 года № 490, нормативными правовыми актами в сфере транспортной безопасности);
8) передачи работодателем персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации;
9) при мотивированных запросах от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации;
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
10) передачи персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ);
11) обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со статьей 372 Трудового кодекса Российской Федерации.
При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные части 3 статьи 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.
4.5. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом Российской Федерации, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить лицо его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям пункта 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставлением отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о муниципальной службе, где срок хранения персональных данных соискателя определен в течение 3 лет.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.
Исключение составляют случаи заключения трудового договора с бывшим муниципальным служащим. При заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы работодателем должны быть соблюдены требования статьи 64.1 Трудового кодекса Российской Федерации.
Обязанность получения согласия также не распространяется на обработку персональных данных соискателей, подавших документы на замещение вакантных должностей муниципальной службы, поскольку перечень предоставляемых документов, определен Федеральным законом от 02 марта 2007 года №25-ФЗ «О муниципальной службе в Российской Федерации» и пунктом 6 Положения о порядке проведения конкурса на замещение должности муниципальной службы в городском округе город Октябрьский Республики Башкортостан, утвержденного решением Совета городского округа город Октябрьский Республики Башкортостан от 13 декабря 2011 года №491, а форма анкеты, предполагающая внесение персональных данных заявителя, утверждена распоряжением Правительства Российской Федерации от 26 мая 2005 года № 667-р.
В этом случае, обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.
Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет.
Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.
5. Хранение и использование персональных данных
5.1. Информация персонального характера хранится и обрабатывается с соблюдением требований законодательства Российской Федерации о защите персональных данных.
5.2. Порядок хранения документов, содержащих персональные данные работников осуществлять в соответствии с:
Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
Правилами, устанавливающими порядок ведения и хранения трудовых книжек, а также порядок изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16 апреля 2003 года №225 «О трудовых книжках»;
Унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными Постановлением Госкомстата России от 05 января 2004 года № 1;
Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры России от 25 августа 2010 года № 558.
5.3. Обработка персональных данных Оператором осуществляется смешанным путем:
неавтоматизированным способом обработки персональных данных;
автоматизированным способом обработки персональных данных.
5.4. Персональные данные хранятся на бумажных носителях и в электронном виде.
5.5. Хранение текущей документации и оконченной производством документации, содержащей персональные данные, осуществляется в подразделениях Оператора, а также в помещениях Оператора, предназначенных для хранения отработанной документации, в соответствии с распоряжением Оператора.
Ответственные лица за хранение документов, содержащих персональные данные, назначаются распоряжением оператора.
5.6. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные, осуществляется в течение установленных правовыми актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
5.7. Оператор обеспечивает ограничение доступа к персональным данным лицам, не уполномоченным федеральным законодательством, либо Оператором для получения соответствующих сведений.
5.8. Доступ к персональным данным без специального разрешения имеют только должностные лица Оператора, допущенные к работе с персональными данными распоряжением Оператора. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных.
6. Защита персональных данных
6.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
6.3. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.4. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
6.5. Выбор средств защиты информации для системы защиты персональных данных осуществляется Оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
6.6. Для обеспечения безопасности персональных данных при неавтоматизированной обработке предпринимаются следующие меры:
1) определяются места хранения персональных данных, которые оснащаются средствами защиты:
в помещениях, где осуществляется хранение документов, содержащих персональные данные, имеются сейфы, шкафы, стеллажи, тумбы;
дополнительно кабинеты, где осуществляется хранение документов, содержащих персональные данные, оборудованы замками и системами охранной (пультовой) и пожарной сигнализаций;
Оператор использует услуги охраны.
2) все действия по неавтоматизированной обработке персональных данных физических лиц и работников осуществляются только должностными лицами, согласно списка должностей, утвержденного распоряжением Оператора, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
3) при обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы;
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
Персональные данные, содержащиеся на материальных носителях уничтожаются по Акту об уничтожении персональных данных.
Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
6.7. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6.8. Для обеспечения безопасности персональных данных при автоматизированной обработке предпринимаются следующие меры:
1) все действия при автоматизированной обработке персональных данных осуществляются только должностными лицами, согласно списка должностей, утвержденного распоряжением Оператора, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
2) персональные компьютеры, имеющие доступ к базам хранения персональных данных, защищены паролями доступа. Пароли устанавливаются администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных на данном персональном компьютере;
3) иные меры, предусмотренные положением по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
4) обработка персональных данных осуществляется с соблюдением требований, предусмотренных Постановлением Правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
6.9. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, в соответствии с приказами по архивному делу, или продлевается на основании заключения экспертной комиссии Оператора, если иное не определено законодательством Российской Федерации.
7. Передача персональных данных третьим лицам
7.1. Передача персональных данных третьим лицам осуществляется Оператором только с письменного согласия физического лица, с подтверждающей визой главы администрации, за исключением случаев, если:
1) передача необходима для защиты жизни и здоровья физического лица, либо других лиц, и получение его согласия невозможно;
2) в целях обследования и лечения физического лица, не способного из-за своего состояния выразить свою волю;
3) по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;
4) в случае оказания помощи несовершеннолетнему в возрасте до 15 лет, для информирования его родителей или законных представителей;
5) при наличии оснований, позволяющих полагать, что права и интересы физического лица могут быть нарушены противоправными действиями других лиц;
6) в иных случаях, прямо предусмотренных федеральным законодательством.
Лица, которым в установленном Федеральным законом «О персональных данных» порядке переданы сведения, составляющие персональные данные, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.
7.2. Передача персональных данных третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой главы администрации при условии соблюдения требований, предусмотренных пункта 7.1 настоящей политики.
7.3. При передаче персональных данных третьим лицам Оператор должен соблюдать следующие требования:
не сообщать персональные данные третьему лицу без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, прямо предусмотренных законодательством Российской Федерации;
не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных;
предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные представителям субъекта персональных данных в порядке, установленном федеральным законодательством, и только в том объеме, который необходим для выполнения указанными представителями их функций.
7.4. Передача персональных данных третьим лицам осуществляется на основании письменного заявления/запроса третьего лица с разрешающей визой главы администрации и только с согласия работника, в отношении которого поступил такой запрос, за исключением случаев, прямо предусмотренных абзацем вторым пункта 7.3 настоящей политики.
7.5. В целях соблюдения федерального законодательства и иных нормативных правовых актов и обеспечения положений трудового договора возможна передача:
1) документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о пенсионных накоплениях физических лиц в соответствии с законодательством Российской Федерации - в федеральные органы исполнительной власти;
2) персональных данных, для осуществления выдачи заработной платы или других доходов работника - в уполномоченные банковские организации;
3) персональных данных, для содействия работникам в трудоустройстве, обучении, повышения их квалификации, переподготовке, проведения аттестации на квалификационную категорию, получении грамот, наград и иных форм поощрений - в Совет городского округа город Октябрьский Республики Башкортостан, уполномоченные республиканские и федеральные органы исполнительной власти.
Передача указанных сведений и документов осуществляется с согласия работника. Согласие работника оформляется письменно в виде отдельного документа. После получения согласия работника дальнейшая передача указанных сведений и документов, дополнительного письменного согласия не требует и в Журнал учета запросов персональных данных работников по запросам третьих лиц не фиксируется.
Оператор обеспечивает ведение Журнала учета выданных персональных данных по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае если лицо, обратившееся с запросом, не уполномочено федеральным законодательством на получение персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Оператор обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится у Оператора.
8. Общедоступные источники персональных данных
8.1. Включение персональных данных субъекта персональных данных в общедоступные источники персональных данных возможно только при наличии его письменного согласия.
8.2. В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных работников (в том числе справочники, адресные книги, информационные стенды для потребителей услуг, оказываемых работодателем). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год и место рождения, адрес, иные персональные данные, предоставленные работником.
8.3. При обезличивании персональных данных согласие субъекта персональных данных на включение персональных данных в общедоступные источники персональных данных не требуется.
Сведения о физических лицах или работниках могут быть исключены из общедоступных источников персональных данных по требованию самого субъекта персональных данных, либо по решению суда или иных уполномоченных государственных органов.
9. Права и обязанности субъекта персональных данных в области
защиты его персональных данных
защиты его персональных данных
9.1. В целях обеспечения защиты персональных данных, хранящихся у Оператора, субъекты персональных данных имеют право на:
полную информацию о составе и содержимом их персональных данных, а также способе обработки этих данных;
свободный доступ к своим персональным данным.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона «О персональных данных»;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или федеральным законодательством.
Сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.2. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении физического лица или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы физического лица или третьих лиц.
9.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных физическим лицом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором (или лицом, действующим по поручению Оператора), Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить физического лица или его представителя, а в случае, если обращение физического лица или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.5. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является физическое лицо, иным соглашением между Оператором и физическим лицом, либо если Оператор не вправе осуществлять обработку персональных данных без согласия физического лица на основаниях, предусмотренных федеральным законодательством.
9.6. В случае отзыва физическим лицом согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и физическим лицом, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законодательством.
9.7. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральным законодательством.
9.8. Для своевременной и полной реализации своих прав, физическое лицо обязано предоставить Оператору достоверные персональные данные.
9.9. Работник Оператора обязан:
при приеме на работу предоставить работодателю свои полные и достоверные персональные данные;
для своевременной и полной реализации своих трудовых, пенсионных и иных прав работник обязуется поставить в известность работодателя об изменении персональных данных, обрабатываемых работодателем в связи с трудовыми отношениями, в том числе изменении фамилии, имени, отчества, паспортных данных, о получении образования, квалификации, получении инвалидности и иных медицинских заключений, препятствующих выполнению своих должностных обязанностей, и прочих данных c предоставлением подтверждающих документов.
9.10. В целях обеспечения защиты персональных данных работник имеет право на:
1) полную информацию о хранящихся у работодателя его персональных данных;
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством Российской Федерации;
3) выдачу документов, содержащих персональные данные работника, в соответствии со ст. 62 Трудового кодекса Российской Федерации, ст. 14 Федерального закона «О персональных данных» с соблюдением следующей процедуры:
заявление работника о выдаче того или иного документа на имя главы администрации (работодателя);
выдача заверенной копии (в количестве экземпляров, необходимом работнику) заявленного документа либо справки о заявленном документе или сведениях, содержащихся в нем;
внесение соответствующих записей в журнал учета выданной информации;
4) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением;
5) при отказе работодателя исключить или исправить персональные данные заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия; дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
6) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7) обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных;
8) иные права, предусмотренные действующим законодательством.
9.11. Оператор (работодатель) обязан:
1) предоставить работнику, по его просьбе информацию о наличии у него персональных данных владельца, цели их обработки, способ обработки, разъяснить юридические последствия отказа работника от их предоставления в случае, если такая обязанность предусмотрена федеральным законодательством;
2) по письменному заявлению работника не позднее 3-х рабочих дней со дня его подачи бесплатно выдавать работнику копии документов, связанных с работой;
3) устранять выявленные недостоверные персональные данные в случаях и порядке, предусмотренном федеральным законодательством;
4) принимать возможные меры по обеспечению безопасности персональных данных работников при их обработке.
9.12. Оператор (работодатель) имеет право:
1) требовать от работника предоставления персональных данных и документов, их подтверждающих, в случаях, предусмотренных федеральным законодательством;
2) иные права, предусмотренные действующим законодательством.
10. Обжалование действий или бездействия Оператора
10.1. Если субъект персональных данных, его законный представитель считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.
10.2. Субъект персональных данных, имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10.3. Моральный вред, причиненный субъекту персональных данных, вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
11. Ответственность за нарушение норм, регулирующих обработку
и защиту персональных данных
11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.
11.2. Работники Оператора, допущенные к обработке персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.