ПОЛОЖЕНИЕ О ПОРЯДКЕ ОБРАБОТКИ, ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХРАБОТНИКОВ МУНИЦИПАЛЬНОГО АВТОНОМНОГО УЧРЕЖДЕНИЯ КУЛЬТУРЫ «ДОМ КУЛЬТУРЫ им. Ю. ГАГАРИНА» НАХОДКИНСКОГО ГОРОДСКОГО ОКРУГА И ГАРАНТИЯХ ИХ ЗАЩИТЫ

1. Общие положения

1.1. Настоящее Положение определяетпорядок обработки персональных данных работников муниципального автономного учреждения культуры «Дом культуры им. Ю. Гагарина» Находкинского городского округа.

1.2. Настоящее Положение разработано в соответствии с требованиями Конституции РФ, Трудовым кодексом РФ № 197-ФЗ от 30.12.2001 г., Федеральным законом РФ "Об информации, информационных технологиях и о защите информации" № 149-ФЗ от 27.07.2006 г., Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27.07.2006 г., Указом Президента РФ "Об утверждении перечня сведений конфиденциального характера" № 188 от 06.03.1997 г. и другими нормативными правовыми актами.

1.3. Понятия, используемые в настоящем Положении:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор (далее – «Оператор») - муниципальное автономное учреждение культуры «Дом культуры им. Ю. Гагарина» Находкинского городского округа;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

    - конфиденциальность персональных данных - обязательное для соблюдения получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.4. Сбор, хранение, использование и распространение информации о персональных данных лица без письменного его согласия не допускаются. Персональные данные работника относятся к категории конфиденциальной информации.

1.5.Настоящее Положение утверждается директоромОператора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным работников.

2. Перечень документов и сведений, содержащих персональные данные работника

2.1. В соответствии с Трудовым кодексом РФ, локальными нормативными актамилицо, поступающее на работу в Оператора, предъявляет Оператору следующие документы, содержащие его персональные данные:

- паспорт или иной документ, удостоверяющий личность, содержащий сведения о паспортных данных работника, сведения о месте регистрации (месте жительства), сведения о семейном положении;

- трудовую книжку, содержащую данные о трудовой деятельности работника;

- страховое свидетельство государственного пенсионного страхования, содержащее сведения о номере и серии страхового свидетельства;

- свидетельство о постановке на учет в налоговом органе, содержащее сведения об идентификационном номере налогоплательщика;

- документы воинского учета, содержащие сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;

- документ об образовании, о квалификации или о наличии специальных знаний или специальной подготовки, содержащий сведения об образовании, профессии;

- медицинскую книжку с заключением о прохождении медосмотра;

- выписку из банка о наличии счета;

- свидетельства о рождении детей для оформления налогового вычета.

2.2. В перечень документов и сведений, находящихся вОператора и содержащих персональные данные, включаются:

- трудовой договор;

- медицинская книжка;

- анкетные и паспортные данные;

- сведения о заработной плате (зарплатные ведомости, расчетные листы и т.п.);

- личное дело;

- трудовая книжка;

- справка об отсутствии судимости;

- подлинники и копии приказов по личному составу;

- документы и копии, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебных расследованиях;

- документы и копии, содержащие данные: паспортные, о семейном положении, о членах семьи, о воинском учете, свидетельства государственного пенсионного страхования, о идентификационном номере налогоплательщика, об образовании;

- фотография.

3. Понятие и состав персональных данных

3.1. Персональные данные работника - информация, необходимая Оператору в связи с трудовыми отношениями и касающаяся конкретного работника.

3.2. Состав персональных данных работника:

- анкетные и биографические данные (Ф.И.О., дата рождения);

- сведения об образовании;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о социальных льготах;

- сведения о наградах достижениях, заслугах;

- данные свидетельства государственного пенсионного страхования;

- данные свидетельства о государственной регистрации акта гражданского состояния;

- данные свидетельства о рождении детей;

- идентификационный номер налогоплательщика;

- специальность;

- занимаемая должность;

- сведения о наличие судимостей;

- сведения медицинского характера, в случаях предусмотренных законодательством;

- адрес места жительства, номер телефона;

- место работы или учебы членов семьи и родственников;

- содержание трудового договора;

- номер банковского счета;

- сведения о заработной плате;

- содержание декларации, подаваемой в налоговую инспекцию;

- сведения о повышение квалификации и переподготовке работников, их аттестации, служебных расследованиях;

- фотография.

3.3. Обработка видео с камер системы видеонаблюдения Оператора осуществляется согласно Положения о системе видеонаблюдения в МАУК «ДК им. Ю. Гагарина» НГО.

3.4. Данные сведения являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.

4. Обязанности работника

4.1. Работник обязан:

4.1.1. Передавать Оператору или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.

4.1.2. Своевременно сообщать Оператору об изменении своих персональных данных.

5. Права работника

5.1 Работник имеет право на получение сведений об обработке его персональных данных Оператором.

5.2 Работник вправе требовать от Оператора уточнения обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.3 Право доступа работника к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5.4 Для реализации своих прав и защиты законных интересов в области персональных данных работник имеет право обратиться к Оператору в установленном порядке (Правила рассмотрения обращений субъектов персональных данных МАУК «ДК им. Ю. Гагарина» НГО).

5.5 Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

5.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Порядок сбора, обработки и хранения персональных данных

6.1 Сбор персональных данных допускается только для достижения установленных Политикой в области обработки и защиты персональных данных МАУК «ДК им. Ю. Гагарина» НГО целей:

- ведение кадрового учета работников Оператора и начисления им заработной платы (реализации трудовых отношений);

- размещение персональных данных на официальном сайте Оператора;

- освещение деятельности учреждения в СМИ.

6.2. В целях обеспечения прав и свобод человека и гражданина Оператор при обработке персональных данных работника обязан соблюдать следующие общие требования:

- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и повышении квалификации, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- при определении объема и содержания обрабатываемых персональных данных работника Оператор должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

6.3. Порядок получения персональных данных:

6.3.1. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Оператор должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

6.3.2. Оператор не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, о состоянии здоровья и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Оператор вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

6.3.3. Оператор не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях, за исключением случаев, предусмотренных федеральным законом.

6.3.4 Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

6.4. Обработка и хранение персональных данных работника:

6.4.1. Персональные данные работника обрабатываются безиспользования средств автоматизации и хранятся в компьютере специалиста по кадрам, бухгалтера:

-Ф.И.О., дата рождения;

- паспортные данные;

- сведения об образовании;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- сведения о заработной плате;

- занимаемая должность;

- сведения о воинском учете;

- сведения о социальных льготах;

- сведения о наградах достижениях, заслугах;

- данные свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- адрес места жительства, номер  телефона.

6.4.2. Все остальные персональные данные обрабатываются и хранятся на бумажных носителях.

6.4.3. Перечень мест хранения материальных носителей персональных данных в МАУК «ДК им. Ю. Гагарина» НГО и ответственных лиц утверждается приказом руководителя учреждения.

6.4.4. Срок хранения документов и копий, содержащих персональные данные,75 лет, если иное не установлено законами;

6.4.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

6.4.6. Круг лиц, допущенных к работе с документами, содержащими персональные данные работников, определяется приказом руководителя Оператора;

6.4.7. К обработке, передаче и хранению персональных данных работника могут иметь доступ директор, заместитель директора, работники бухгалтерии, специалист по кадрам, делопроизводитель, специалист по охране труда.

6.5. При передаче персональных данных работника Оператор должен соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральными законами;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

- предупредить лица, получающие персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное пункт не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

- передавать персональные данные работника родственникам, представителям, государственным органам и другим юридическим лицамв порядке, установленном законодательством и локальными актами Оператора, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;

-  передавать персональные данные работников третьим лицам при наличии соглашения о неразглашении конфиденциальной информации либо наличии в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника;

- передавать персональные данные работников по системам электронного документооборота, предприняв меры безопасности: определение и передача только необходимой информации, недопущение работы в электронных системах без лицензированной антивирусной защиты, использование средств криптографической защиты информации, электронных подписей и ключей (по возможности).

6.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных работникараспространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

7. Доступ к персональным данным работника

7.1. Право доступа к персональным данным работника имеют:

- директор;

- заместитель директора;

- гл. бухгалтер;

- бухгалтер;

- специалист по кадрам;

- делопроизводитель;

- специалист по охране труда;

- сам работник, носитель данных;

- сторожа (вахтеры) (просмотр видео с камер системы видеонаблюдения в режиме реального времени);

- другие сотрудники учреждения, которые имеют доступ к персональным данным работника только с письменного согласия самого работника, носителя данных.

7.2. Внешний доступ.

7.2.1. К числу массовых потребителей персональных данных вне учрежденияможно отнести государственные и негосударственные функциональные структуры:

- налоговые инспекции;

- правоохранительные органы;

- органы статистики;

- страховые агентства;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения муниципальных органов управления.

7.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции, установленной законами РФ.

7.2.3. Организации, в которые работник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

7.2.5. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

7.2.6. В случае развода бывшая супруга (супруг) имеет право обратиться в МАУК «ДК им. Ю. Гагарина» НГО с письменным запросом о размере заработной платы работника без его согласия.

8. Защита персональных данных работника

8.1. Для защиты персональных данных работников необходимо соблюдать ряд мер:

- не допускать выдачу личных дел работников на рабочие места или вынос из учреждения;

- назначить ответственных за организацию обработки персональных данных;

- определить работников уполномоченных на обработку персональных данных;

- разработать  и утвердить локальные нормативные акты, регулирующие деятельность Оператора в области защиты персональных данных;

- своевременно выявлять нарушения требований разрешительной системы доступа работниками;

- проводить воспитательную и разъяснительную работу с работниками, уполномоченными на обработку персональных данных, по предупреждению утраты сведений при работе с персональными данными;

- вести учет машинных носителей персональных данных;

- минимизировать обработку персональных данных с использованием средств автоматизации;

-  проводить обезличивание части персональных данных;

- проводить тщательный анализ и возможное сокращение перечня получаемых и обрабатываемых персональных данных;

- минимизировать количество мест хранения и обработки персональных данных;

- рационально разместить рабочие места работников, обрабатывающих персональные данные, чтобы исключалось бесконтрольное использование защищаемой информации;

- создавать необходимые условия в помещениях для работы с конфиденциальными документами и базами данных;

- ознакамливатьработников, имеющих доступ к персональным данным,с требованиями нормативно-методических документов по защите информации и сохранению тайны;

- регламентировать доступ (вход) в помещения, в которыхобрабатываются персональные данные;

- осуществлять внутренний контроль за соблюдением требований Федерального закона и локальных актов;

- своевременно обнаруживать факты несанкционированного доступа к персональным данным и принимать необходимые меры;

- восстанавливать персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

-своевременноуничтожать персональные данные, согласно установленной процедуре;

- своевременно выявлять нарушения требований разрешительной системы доступа к персональным данным.

8.2. Для защиты конфиденциальной информации Оператором создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

8.3. С работниками, ответственными за хранение персональных данных, а также с работниками, имеющими доступ к персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных работников. Экземпляр Соглашения хранится в личном деле работника.

8.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Оператором за счет своих средств в порядке, установленном федеральным законом.

8.5. Автоматизированная обработка и хранение персональных данных работников допускаются только после выполнения всех основных мероприятий по защите информации.

8.6. Помещения, где хранится информация о персональных данных работников, в рабочее время при отсутствии в них работников, должны быть закрыты.

8.7. Проведение уборки помещения должно производиться в присутствии работников, уполномоченных на обработку персональных данных.

9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

9.1. Руководитель, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

9.2. Каждый работник, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут, в соответствии с федеральными законами, ответственность:

- дисциплинарную (замечание, выговор, увольнение);

- административную (предупреждение или административный штраф);

- гражданско-правовую (возмещение причиненного ущерба).

9.4. Работник, предоставивший работодателю подложные документы или заведомо ложные сведения о себе, несет дисциплинарную ответственность, вплоть до увольнения.

10. Заключительные положения

10.1. Настоящее Положение вступает в силу с момента его утверждения директором и вводится в действие приказом руководителя Оператора.

10.2. Работники должны быть ознакомлены под подпись с документами Оператора, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

10.3. Положение обязательно для всех работников, если иные условия не предусмотрены в трудовом договоре работника.

10.4. Руководитель Оператора вправе вносить изменения и дополнения в Положение. Работники должны быть поставлены в известность о вносимых изменениях и дополнениях за 5 дней до вступления их в силу, посредством издания  приказа об ознакомления с ними под подпись.