21. Положение о защите персональных данных работников учреждения

                                                                                                    УТВЕРЖДАЮ

                                                                                                Директор

                                                                                                МБУК ЦКиД «Болшево»

                                                                                                ___________А.Ю.Глазунова      

                                                                                               « _____» _____________2017 г.

 

Положение о защите персональных данных работников

 

Муниципального бюджетного учреждения культуры городского округа Королёв Московской области

«Центр культуры и досуга «Болшево»

I. Общие положения

1. Положение о защите персональных данных (далее - Положение) устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников МБУК «Центр культуры и досуга «Болшево».

2. Положение является локальным нормативным актом МБУК «Центр культуры и досуга «Болшево.

3. Положение является развитием комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у работодателя, посредством планомерных действий по совершенствованию организации труда.

4. Положение разработано на основе:

- Конституции Российской Федерации;

- Трудового кодекса Российской Федерации;

- Гражданского кодекса Российской Федерации;

- Кодекса Российской Федерации об административных правонарушениях;

- Уголовного кодекса Российской Федерации;

- Федерального закона Российской Федерации «Об информации, информатизации и защите информации».

5. Положение о защите персональных данных работников и изменения к нему вводятся приказом директора МБУК «Центр культуры и досуга «Болшево. Все работники учреждения должны быть ознакомлены с данным Положением и изменениями к нему  под расписку (приложение №1).

 

II. Понятие и состав персональных данных

 

1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

2. К персональным данным относятся:

- все биографические сведения работника (фамилия, имя, отчество, дата рождения, место рождения, гражданство);

- образование;

- специальность,

- занимаемая должность;

- стаж работы;

- наличие судимостей;

- знание иностранных языков;

- адрес места жительства (по паспорту и фактический), дата регистрации по указанному месту жительства;

- домашний телефон;

- состояние в браке;

- состав семьи;

- размер заработной платы;

- сведения о воинском учете;

- подлинники и копии приказов по личному составу;

- личные дела, личные карточки (форма Т2) и трудовые книжки работников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;

- копии документов об образовании;

- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

- фотографии;

3. Собственником персональных данных является субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные, и который вступил (стал работником) или изъявил желание вступить в трудовые отношения с работодателем. Субъект персональных данных самостоятельно решает вопрос передачи работодателю своих персональных данных.
        4. Держателем персональных данных является работодатель, которому работник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

 

III. Получение, обработка и передача персональных данных

1. Получение, хранение, комбинирование, передача или любое другое использование персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2. Все персональные данные работника директор МБУК «Центр культуры и досуга «Болшево получает  у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие.

3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

4. Не допускается получение и обработка персональных данных работника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.

5. Работник имеет право на:

- полную информацию о своих персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных действующим законодательством Российской Федерации;

- определение своих представителей для защиты своих персональных данных;

- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия;

- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

6. Работник обязан:

- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных.

- своевременно сообщать работодателю об изменении своих персональных данных.

7. Доступ к персональным данным работников разрешается только специально уполномоченным лицам для выполнения конкретных функций в рамках их должностных обязанностей.

8. Обработкой персональных данных в части, касающейся выполнения своих должностных обязанностей, занимаются следующие сотрудники МБУК «Центр культуры и досуга «Болшево - директор, заместитель директора по безопасности, главный  бухгалтер.

8. Другим работникам, организациям, а также родственникам и членам семьи работника персональные данные предоставляются только с письменного согласия работника. Исключение представляют собой случаи, когда предоставление персональных данных работника связано с необходимостью предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством Российской Федерации.

10. Должностные лица МБУК «Центр культуры и досуга «Болшево получающие персональные данные работника, предупреждаются о том, что эти данные могут использоваться только по прямому назначению в соответствии с действующим законодательством Российской Федерации (приложение № 1).

11. Работник имеет доступ к своим персональным данным. По письменному заявлению работника отдел кадров обязан в срок не позднее трех дней со дня подачи заявления выдать ему копии документов, связанных с работой.

 

IV. Хранение и защита персональных данных

 

1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

2. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности учреждения.
        3. Внутренняя защита.

3.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа работников к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами учреждения.

3.2. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание работниками требований нормативно – методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- организация порядка уничтожения информации;

- воспитательная и разъяснительная работа с работниками учреждения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

- персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа.

4. Внешняя защита.

4.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

4.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности учреждения, посетители, сотрудники других организационных структур.

4.3. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров.
        4.4. Для защиты персональных данных работников необходимо соблюдать ряд мер:

- порядок приема, учета и контроля деятельности посетителей;

- пропускной режим учреждения;

- порядок охраны территории, зданий, помещений, транспортных средств;

- требования к защите информации при интервьюировании и собеседованиях.

5. Персональные данные работников хранятся на бумажных носителях в папках – регистраторах, в картотеках согласно номенклатуре дел.

6. Документы, содержащие персональные данные, хранятся как конфиденциальная информация с ограниченным доступом в сейфах, обеспечивающие сохранность документов.

 

V. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными.


        1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
        2. Директор учреждения, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

3. Каждый работник учреждения, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

4. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о персональных данных влечет дисциплинарную, административную, гражданско–правовую или уголовную ответственность граждан и юридических лиц.

 

 Приложение № 1

к Положению о защите персональных данных работников МБУК «Центр культуры и досуга «Болшево.

 

Обязательство о неразглашении персональных данных работников

 

С положением о защите персональных данных ознакомлен (а) и предупрежден (а) о дисциплинарной, административной, гражданско-правовой и уголовной ответственности за нарушение норм работы с персональными данными и их разглашение в соответствии с действующим законодательством Российской Федерации

 

Обязуюсь:

1. Не разглашать сведения, являющиеся персональными данными работников МБУК «Центр культуры и досуга «Болшево, которые мне известны в связи с исполнением должностных обязанностей.

2. О случаях разглашения (возможного разглашения) персональных данных работника, несанкционированного доступа к этим данным, причинах утечки информации незамедлительно докладывать директору.

 

№ п/п

ФИО

Должность

Подпись

Дата

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Comments