Об утверждении положения о защите и обработке персональных данных в администрации муниципального района «Газимуро-Заводский район»



Документ подписан электронно-цифровой подписью:

Владелец: Задорожин Роман Олегович

Емейл: adm-gazimur@mail.ru

Должность: Глава муниципального района

Дата подписи: 21.08.2020 9:54:55

АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО РАЙОНА «ГАЗИМУРО-ЗАВОДСКИЙ РАЙОН»

РАСПОРЯЖЕНИЕ

16 июня 2020 года                                                                                                                                                          № 129

село Газимурский Завод

Об утверждении положения о защите и обработке персональных данных в администрации муниципального района «Газимуро-Заводский район»

В соответствии с п. 1 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», в целях создания и поддержания необходимого уровня безопасности персональных данных в администрации муниципального района «Газимуро-Заводский район»:

1. Утвердить прилагаемое положение о защите и обработке персональных данных в администрации муниципального района «Газимуро-Заводский район».

2. Контроль за исполнением настоящего распоряжения оставляю за собой.

3. Настоящее распоряжение вступает в силу со дня его подписания.

Глава муниципального района «Газимуро-Заводский район»                                           Р.О. Задорожин

УТВЕРЖДЕНО: распоряжением администрации муниципального района «Газимуро-Заводский район» от 16 июня 2020 года № 129

Положение

О защите и обработке персональных данных в администрации муниципального района «Газимуро-Заводский район»

1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Назначение и область действия документа

Настоящее Положение об обработке персональных данных в администрации муниципального района «Газимуро-Заводский район» (далее - Положение) определяет порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных субъектов персональных данных в администрации муниципального района «Газимуро-Заводский район».

Настоящее Положение разработано в соответствии с федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон), постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Трудовым кодексом Российской Федерации.

Цель данного Положения - определение порядка обработки персональных данных субъектов персональных данных в администрации муниципального района «Газимуро-Заводский район» (далее — Организация).

Юридические и физические лица, в соответствии со своими полномочиями владеющие, получающие и использующие информацию о субъектах персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность за нарушение правил обработки и защиты этой информации.

Настоящее Положение вступает в силу с момента его утверждения Главой муниципального района «Газимуро-Заводский район» и действует бессрочно до замены его новым Положением.

Все изменения в Положение вносятся распоряжением Главы муниципального района «Газимуро-Заводский район».

Все сотрудники Организации, имеющие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись для последующего его исполнения.

2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Термины и определения

Автоматизированная обработка персональных данных - обработка персональных данных с использованием средств вычислительной техники.

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Атака - целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Безопасность объекта - состояние защищенности объекта от внешних и внутренних угроз.

Безопасность информации - состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.

Блокирование информации - временное прекращение сбора, систематизации, накопления, использования, распространения, информации, в том числе её передачи.

Доступ к информации - возможность получения информации и ее использования.

Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона - это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Межсетевой экран - локальное (однокомпонентное) или функционально- распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Модель угроз - перечень возможных угроз информации.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение информации - действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.

Уполномоченное оператором лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.

Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

2.2. Определение перечня персональных данных, обрабатываемых в администрации муниципального района «Газимуро-Заводский район»

2.2.1. В Организации обрабатываются персональные данные следующих категорий субъектов персональных данных:

2.2.1.1. Персональные данные работников

Цели обработки персональных данных работников:

1) ведение кадрового учета в соответствии с Трудовым кодексом Российской Федерации;

2) начисление заработной платы и премиального вознаграждения;

3) организации системы доступа в помещения администрации муниципального района «Газимуро-Заводский район»;

4) подготовка регламентированной отчетности в государственные контрольные органы (ФНС, ПФР, ФСС и другие).

В администрации муниципального района «Газимуро-Заводский район» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных сотрудников:

- Фамилия, имя, отчество;

- Место, год и дата рождения;

- Адрес по прописке;

- Паспортные данные (серия, номер паспорта, кем и когда выдан);

- Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

- Информация о трудовой деятельности до приема на работу;

- Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);

- Адрес проживания (реальный);

- Телефонный номер (домашний, рабочий, мобильный);

- Семейное положение и состав семьи (муж/жена, дети);;

- Форма допуска;

- Сведения о доходах;

- Данные о трудовом договоре ( № трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

- Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

- ИНН;

- Данные об аттестации работников;

- Данные о повышении квалификации;

- Данные о наградах, медалях, поощрениях, почетных званиях;

- Информация о приеме на работу, перемещении по должности, увольнении;

- Информация об отпусках;

- Информация о командировках;

- Информация о болезнях;

2.2.1.2. Персональные данные соискателей на вакантные должности

Цели обработки персональных данных соискателей:

1) трудоустройство на вакантные должности администрации муниципального района «Газимуро-Заводский район».

В администрации муниципального района «Газимуро-Заводский район» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных соискателей:

фамилия, имя, отчество; дата рождения; место рождения; гражданство; пол; сведения о воинском учете; сведения об образовании; сведения о трудовом стаже; другие данные, указанные соискателем самостоятельно в резюме.

2.2.1.3. Персональные данные контрагентов

Цели обработки персональных данных контрагентов:

1. покупка администрацией муниципального района техники или запасных частей у контрагента;

2. оказание контрагенту услуг по ремонту техники;

3. оказание контрагенту услуг по продаже техники.

В администрации как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных контрагентов:

фамилия, имя, отчество; ОКОПФ; паспортные данные; адрес регистрации; контактные данные; адрес электронной почты; данные о счетах и договорах; банковские реквизиты счета контрагента.

2.2.2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.2.2.1. Общие принципы обработки

Обработка персональных данных должна осуществляться на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.

Сбор, накопление, хранение, изменение, использование и распространение, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться только при условии письменного согласия физического лица, за исключением случаев, предусмотренных Законом.

Обработка персональных данных обрабатывается как с помощью средств автоматизации, так и без использования таких средств.

Правила обработки и защиты персональных данных без использования средств автоматизации установлены в соответствующем внутреннем документе.

Правила обработки персональных данных в информационной системе персональных данных установлены в Инструкции администратора информационной безопасности и в Инструкции пользователя информационной системы персональных данных.

2.2.2.2. Порядок сбора и хранения персональных данных

При сборе персональных данных Организация обязана предоставить физическому лицу (субъекту персональных данных) по его запросу информацию о целях, способах обработки персональных данных, сведения о лицах, имеющих доступ к персональным данным, перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Информация, представляемая работником при приеме на работу, должна иметь документальное оформление. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

 паспорт или иной документ, удостоверяющий личность;

 трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

 страховое свидетельство государственного пенсионного страхования;

 документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

 документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

 дополнительные документы - в случаях предусмотренных федеральными законами, указами Президента РФ или постановлениями Правительства РФ.

В структурных подразделениях по управлению персоналом предприятия создаются, обрабатываются и хранятся следующие документы, содержащие персональные данные работников:

а) Карточка ф. Т-2, в которой отражаются следующие анкетные и биографические данные работника, которые относятся к персональным данным:

общие сведения (ФИО работника, дата рождения, место рождения, пол, гражданство, знание иностранного языка, образование, профессия, общий трудовой стаж, состояние в браке, паспортные данные, адрес места жительства, дата регистрации по месту жительства, номер телефона);

 сведения о воинском учете;

 данные о приеме на работу.

В дальнейшем в карточку ф. Т-2 вносятся:

 сведения о переводах на другую работу;

 сведения об аттестации;

 сведения о повышении квалификации;

 сведения о профессиональной переподготовке;

 сведения о наградах (поощрениях), почетных званиях;

 сведения об отпусках;

 сведения о социальных льготах и гарантиях.

б) Анкета, которая заполняется работником при приеме на работу (содержатся анкетные и биографические данные работника).

в) Трудовой договор (содержит сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника).

г) Подлинники и копии приказов по личному составу и основания к ним (содержат информацию о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника).

д) Трудовая книжка или ее копия (содержит сведения о трудовом стаже, предыдущих местах работы).

е) Копии свидетельств о заключении брака, рождении детей (необходимы работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством).

ж) Справка о доходах с предыдущего места работы (необходима работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством).

з) Справка о сумме заработной платы, иных выплат и вознаграждений за 2 последние календарные года для начисления пособия по временной нетрудоспособности.

и) Копии документов об образовании (подтверждают квалификацию работника, обосновывают занятие определенной должности).

к) При необходимости иные документы (материалы служебных расследований, подлинники и копии отчетных, аналитических и справочных материалов), содержащие персональные данные работников.

Персональные данные соискателей на вакантные должности попадают в Организацию через специализированные веб-сайты (электронные биржи труда) или направляются соискателями непосредственно на электронную почту Организации. В случае приглашения соискателя на собеседование, данные в резюме могут подтверждаться документально. Копии подтверждающих документов могут храниться в Организации, но не дольше чем до достижения цели их обработки, то есть до замещения вакантной должности.

Персональные данные контрагентов поступают в Организацию при заключении договора, подтверждаются оригиналами документов и хранятся в течение исполнения договорных обязательств.

2.2.2.3. Процедура получения персональных данных работников

При заключении трудового договора работник обязан предоставить следующие документы, содержащие его персональные данные:

действующий российский паспорт или иной документ, удостоверяющий личность;

трудовую книжку;

страховое свидетельство государственного пенсионного страхования;

документы воинского учета (военный билет);

документы об образовании;

водительское удостоверение (в зависимости от должности);

идентификационный номер налогоплательщика (при наличии).

Если трудовой договор с работником заключается впервые, трудовая книжка и страховое свидетельство государственного пенсионного страхования оформляются Организацией. В некоторых случаях, в зависимости от характера выполнения работы и конкретных должностных обязанностей, работник должен предоставить дополнительные документы, такие как:

заграничный паспорт;

медицинскую справку о сотоянии здоровья;

справку о доходах.

Этот список не ограничивается вышеперечисленными документами и может включать иные документы, содержащие персональные данные работника и необходимые Организации для выполнения ею своих обязательств как по отношению к работнику, так и к третьей стороне. В случае необходимости Организация вправе обратиться к работнику с просьбой о предоставлении документов, содержащих его персональные данные.

Все персональные данные работника следует получать непосредственно от него самого.

Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на получение его персональных данных у третьей стороны. Организация должна сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Работник при изменении персональных данных письменно уведомляет работодателя о таких изменениях в срок, не превышающий трех рабочих дней.

В соответствии со статьей 86 главы 14 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;

защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;

работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

2.2.2.4. Передача персональных данных третьим лицам

Передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом, не допускается. Данное ограничение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.

Передача персональных данных субъекта в коммерческих целях без его письменного согласия исключается. Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.

Передача или получение персональных данных осуществляются в соответствии с утвержденными Правилами рассмотрения запросов субъектов персональных данных или их представителей.

Персональные данные соискателей и контрагентов третьим лицам не передаются.

Персональные данные работников передаются в государственные контролирующие органы в соответствии с федеральными законами (ФНС, ФСС, ПФР и др.).

2.2.2.5. Порядок уничтожения и блокирования персональных данных

Организация обязана прекратить обработку персональных данных и уничтожить их после достижения цели обработки или в случае отзыва субъектом персональных данных согласия на обработку, за исключением случаев, когда уничтожение противоречит федеральному законодательству, а также уведомить о своих действиях субъекта персональных данных и (или) уполномоченный орган. Во всех случаях предусмотрен срок уничтожения персональных данных - три рабочих дня.

В целях оперативной организации уничтожения персональных данных на бумажных носителях распоряжением Главы муниципального района назначена комиссия по уничтожению персональных данных, а также утверждена форма акта уничтожения персональных данных.

Персональные данные, обрабатываемые в информационной системе персональных данных, удаляются путем стирания записи в базах данных администратором информационной безопасности Организации по запросу субъекта или при достижении целей обработки персональных данных.

Временное прекращение операций по обработке персональных данных (блокирование) должно возникать по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

2.2.2.6. Защита персональных данных

При обработке персональных данных Организация принимает организационные и технические меры для защиты персональных данных от неправомерных действий в соответствии с требованиями, устанавливаемыми Правительством РФ.

Защита персональных данных при неавтоматизированной их обработке регламентируется внутренним документом «Правила обработки персональных данных без использования средств автоматизации».

Защита персональных данных при их обработке в информационной системе персональных данных (далее - ИСПДн) регламентирована Инструкцией администратора безопасности ИСПДн, Инструкцией пользователя ИСПДн и другими внутренними документами Организации по защите информации.

Распоряжением Главы муниципального района назначена группа реагирования на инциденты информационной безопасности.

В Организации разработана Модель угроз ИСПДн и Модель нарушителя. Проведена классификация ИСПДн. Для ИСПДн сформировано Техническое задание на систему защиты информации, в котором описаны все организационные и технические меры, которые необходимо осуществить для нейтрализации актуальных угроз и выполнения требований действующего законодательства по защите персональных данных установленного уровня защищенности.

В Организации проведена внутренняя оценка эффективности принятых мер по защите персональных данных, подтвердившая в целом удовлетворительное состояние системы защиты персональных данных.

2.2.2.7. Согласие на обработку персональных данных

С соискателей согласия на обработку персональных данных берутся только в случае приглашения соискателя на собеседование в здание Организации.

Размещая свое резюме на электронных биржах труда или присылая резюме на электронную почту Организации, соискатель автоматически дает свое согласие на обработку его персональных данных.

С контрагентов согласия на обработку персональных данных не берутся, поскольку обработка их персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. В соответствии с пп. 5, п. 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» согласие на обработку персональных данных в таких случаях не требуется.

Со всех работников Организации собирается согласие на обработку их персональных данных.

2.2.3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

2.2.3.1. Организация доступа работниковк персональным данным субъектов

Должностные лица Организации должны иметь доступ только к тем персональным данным, которые необходимы им для выполнения своих функциональных обязанностей.

В Организации разработана и утверждена разрешительная система допуска к персональным данным (Положение о разграничении прав доступа к персональным данным). Круг лиц, допущенных к обработке персональных данных, определяет руководство Организации на основании данных, представленных руководителями подразделений, в которых ведется обработка персональных данных. Данный Перечень утверждается Главой муниципального района.

Должностные лица Организации допускаются к обработке персональных данных после ознакомления с настоящим Положением, инструкцией пользователя ИСПДн а также с иной организационно-распорядительной документацией Организации по защите персональных данных.

Должностные лица Организации перед началом обработки персональных данных подписывают соглашение о неразглашении персональных данных.

Доступ должностных лиц к обработке персональных данных осуществляется в соответствии с Перечнем лиц, должностей, служб и процессов, допущенных к работе с персональными данными.

В случае обнаружения нарушений правил обработки персональных данных в Организации руководство Организации и/или администратор безопасности информации и/или ответственный за организацию обработки персональных данных обязаны приостановить предоставление персональных данных пользователям до выявления и устранения причин нарушений.

Работники Организации имеют право на свободный бесплатный доступ к своим персональным данным, а также на получение копий любой записи о своих персональных данных, обрабатываемых в Организации.

Лица, не имеющие доступа к персональным данным в соответствии с Перечнем подразделений и сотрудников, допущенных к работе с персональными данными, могут быть допущены к ним на основании распоряжения, подписанного Главой муниципального района либо руководителем подразделения данного лица.

2.2.3.2. Организация доступа субъекту персональных данных к его персональным данным

Организация, обрабатывающая персональные данные, должна обеспечивать бесплатный доступ субъекта к персональным данным, ему соответствующим, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, а также других случаев, предусмотренных федеральным законодательством.

Для получения доступа к своим персональным данным субъекту необходимо направить в Организацию запрос, содержащий паспортные данные субъекта персональных данных, в бумажной или электронной форме, подписанные собственноручно или квалифицированной электронной подписью.

Работники Организации должны предоставить персональные данные субъекту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам.

В случае если персональные данные субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация обязана удовлетворить требование субъекта по устранению нарушений обработки персональных данных.

С целью организации своевременной обработки запросов и обращений субъектов персональных данных в Организации разработан и утвержден документ «Правила рассмотрения запросов субъектов персональных данных или их представителей».

2.2.4. ПРАВА И ОБЯЗАННОСТИ АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО РАЙОНА «ГАЗИМУРО-ЗАВОДСКИЙ РАЙОН»

2.2.4.1. Права и обязанности Организации

Организация имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если на это дано информированное согласие субъекта персональных данных или если это предусмотрено действующим законодательством.

В случае выявления недостоверных персональных данных или неправомерных действий с ними Организации при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Организация обязана устранить допущенные нарушения или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.

Должностные лица Организации, в обязанность которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с Правилами рассмотрения запросов субъектов персональных данных.

В случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных Организация обязана внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.

Организация обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.

По запросу уполномоченного органа по защите прав субъектов персональных данных Организация обязана предоставить ему необходимую информацию.

2.2.5. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО РАЙОНА «ГАЗИМУРО-ЗАВОДСКИЙ РАЙОН»

2.2.5.1. Общие положения

Работники, допущенные к обработке персональных данных, обязаны ознакомиться с документами Организации, которые устанавливают порядок обработки персональных данных в Организации, и подписать лист ознакомления с ними, а также подписать соглашение о неразглашении персональных данных, полученных в ходе исполнения своих должностных обязанностей.

2.2.5.2. Права работника

В целях защиты персональных данных, хранящихся в Организации, работник имеет право:

требовать исключения или исправления неверных или неполных персональных данных;

на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

определять своих представителей для защиты своих персональных данных;

на сохранение и защиту своей личной и семейной тайны;

на обжалование в суде любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.

В целях защиты персональных данных, хранящихся в Организации, работник, осуществляющий обработку персональных данных, имеет право:

- получать и вводить информацию в соответствии с его полномочиями;

- требовать оповещения Организацией субъекта персональных данных обо всех произведенных в них исключениях, исправлениях или дополнениях.

2.2.5.3. Обязанности работника

В части своих персональных данных:

- передавать Организации достоверные документы, содержащие персональные данные, состав которых установлен Трудовым кодексом РФ;

- не предоставлять неверные персональные данные, а в случае изменений в персональных данных или обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), незамедлительно сообщить об этом в Организацию.

2.2.5.3.1. В части обработки персональных данных субъекта:

- соблюдать режим конфиденциальности;

- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

- не сообщать персональные данные субъекта третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;

- разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

- не запрашивать дополнительную информацию, содержащую персональные данные, за исключением тех сведений, которые необходимы для достижения целей обработки персональных данных.

2.2.6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.2.6.1. Получение сведений об Организации

Субъект персональных данных имеет право на получение сведений об Организации, о месте ее нахождения, о наличии у Организации персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2.2.6.2. Доступ к своим персональным данным

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Организацией при обращении либо при получении запроса субъекта персональных данных или его законного представителя.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Организацией, а также цель такой обработки;

- способы обработки персональных данных, применяемые Организацией;

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

2.2.6.3. Ограничение прав субъектов персональных данных

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) предоставление персональных данных нарушает конституционные права и свободы других лиц.

2.2.7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.2.7.1. Общие положения

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этой информации.

Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных, действующего на основании законодательства о персональных данных.

2.2.7.2. Персональная ответственность должностных лиц администрации муниципального района «Газимуро-Заводский район»

Должностные лица Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность, предусмотренную федеральным законодательством.

Руководитель подразделения, разрешивший доступ должностному лицу к персональным данным несет персональную ответственность за данное решение.

Должностные лица Организации, получающие доступ к персональным данным несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации. Кроме того, должностные лица Организации, получающие для работы документы, содержащие персональные данные, несут персональную ответственность за их сохранность.

В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой какие-либо финансовые потери для Организации, виновные должностные лица обязаны возместить причиненный ущерб.