Приложение к Постановлению от 19.03.2013 г № 8 Положение
Положение об обработке и защите персональных данных работников администрации безлыченского сельского поселения захаровского муниципального района 1. общие положения
1.1.Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации от 30.12.2001 N 197-ФЗ, Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.06.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Указом Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера".
1.2.Настоящее Положение определяет порядок приема, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения, учета документов, содержащих сведения, отнесенные к персональным данным работников администрации Безлыченского сельского поселения Захаровского муниципального района, с использованием средств автоматизации или без использования таких средств.
1.3.Основные понятия:
1) персональные данные - любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных), являющемуся работником администрации Безлыченского сельского поселения.
2) оператор - лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) с персональными данными или совокупность действий (операций), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
5) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
6) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
7) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - совокупность содержащихся в базе данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
10) конфиденциальность персональных данных - обязательное для соблюдения работодателем или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия работника или наличия иного законного основания;
11) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами РФ не распространяется требование соблюдения конфиденциальности;
12) работники - лица, имеющие трудовые отношения с администрацией Безлыченского сельского поселения, либо кандидаты на вакантную должность, вступившие с администрацией Безлыченского сельского поселения в отношения по поводу приема на работу.
1.4.Положение о защите персональных данных и изменения к нему утверждаются постановлением главы Безлыченского сельского поселения. Все работники администрации должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
2.Понятие и состав персональных данных
Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, его родственников, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность и личность его родственников. Персональные данные работника являются конфиденциальной информацией. К персональным данным относятся следующие сведения и документы:
- все биографические сведения о работнике;
- образование;
- специальность,
- занимаемая должность;
- наличие судимостей;
- место жительства (пребывания);
- домашний телефон;
- состав семьи;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- размер заработной платы;
- содержание трудового договора;
- содержание налоговых деклараций;
- подлинники и копии приказов, распоряжений по личному составу;
- личные дела, личные карточки (форма Т-2) и трудовые книжки сотрудников;
- приказы и основания к приказам, распоряжениям по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- анкеты, заполняемые работниками;
- копии документов об образовании;
- результаты медицинского обследования.
3.Принципы обработки персональных данных
3.1.Обработка персональных данных должна осуществляться на законной и справедливой основе.
3.2.Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
3.3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
3.4.Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5.Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.6.При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
3.7.Оператор ведет Журнал учета передачи персональных данных и Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных (приложение 5, 6 ).
3.8.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.9.Работник является собственником своих персональных данных и самостоятельно решает вопрос передачи работодателю своих персональных данных.
3.10.Держателем персональных данных является работодатель, которому работник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
3.11.Право доступа и обработки персональных данных работника имеют следующие лица администрации Безлыченского сельского поселения:
- глава Безлыченского сельского поселения;
- лицо, уполномоченное распоряжением главы Безлыченского сельского поселения на право доступа и обработку персональных данных работника.
3.12.Должностное лицо, которому разрешен доступ к персональным данным работников, подписывает Соглашение о соблюдении режима конфиденциальности персональных данных работника и соблюдении правил их обработки (приложение N 1 к Положению).
3.13.Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.
3.13.Получение, хранение, комбинирование, передача или любое другое использование персональных данных работника могут осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.Получение, обработка и хранение персональных данных
4.1.Работодатель получает сведения о персональных данных работника из следующих документов:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета;
- документ об образовании, о квалификации или наличии специальных знаний;
- анкета, заполняемая работником при приеме на работу;
- иные документы и сведения, предоставляемые работником при приеме на работу и в процессе работы.
4.2.Все персональные данные работника получаются у него самого.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (приложение 3). Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.3.Условием обработки персональных данных работника является его согласие (приложение N 2). Работник принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных п. 4.4 настоящего Положения.
4.4.Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в целях исполнения трудового или иного договора или соглашения между работником и работодателем;
4) обработка персональных данных необходима для предоставления муниципальной услуги;
5) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии законодательством Российской Федерации об исполнительном производстве;
6) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно;
8) обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
9) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.
4.5.Письменное согласие работника на обработку его персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие работника;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва;
- подпись субъекта персональных данных.
В случае смерти работника согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано работником при его жизни.
4.6.Обработка персональных данных работника, касающихся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояние здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных п. 4.7 настоящего Положения.
4.7.Обработка указанных в п. 4.6 настоящего Положения персональных данных допускается в случаях, если:
1) работник дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные сделаны общедоступными субъектом персональных данных;
3) обработка персональных данных необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника в данный момент невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
6) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
7) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.8.Обработка персональных данных о судимости может осуществляться в пределах полномочий, предоставленных в соответствии с законодательством Российской Федерации.
4.9.Обработка персональных данных, перечисленных в пп. 4.7 и 4.8 настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
4.10.Документы, содержащие персональные данные работника составляют его личное дело. Личное дело хранится уполномоченным лицом на бумажных носителях, а помимо этого может храниться в виде электронных документов. Личное дело пополняется на протяжении всей трудовой деятельности работника. Письменные доказательства получения работодателем согласия работника на обработку его персональных данных хранятся в личном деле работника.
4.11.При обработке персональных данных работников глава Безлыченского сельского поселения вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.
5.Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
6.Права и обязанности сторон в области
защиты персональных данных
6.1.Работник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.;
- своевременно сообщать работодателю об изменении своих персональных данных.
6.2.Работник имеет право:
1.требовать от работодателя уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
2.получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- способы обработки персональных данных, применяемые оператором;
- наименование и место нахождение оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных;
- иные сведения, предусмотренные федеральными законами.
Сведения, указанные в пп. 6.2, должны быть предоставлены работнику в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения, указанные в пп. 6.2, предоставляется работнику или его законному представителю оператором при личном обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность работника или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись работника или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
6.3.Право работника на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.4.Если обязанность предоставления персональных данных работником установлена федеральным законом, работодатель обязан разъяснить работнику юридические последствия отказа предоставить свои персональные данные.
6.5.Если персональные данные были получены не от работника, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
1) фамилию, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) права работника в области защиты персональных данных;
5) источник получения персональных данных.
6.6.Оператор освобождается от обязанности предоставлять работнику сведения, предусмотренные пп. 6.5, в случаях, если:
1) работник уведомлен об осуществлении обработки его персональных данных оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора;
3) персональные данные сделаны общедоступными работником или получены из общедоступного источника;
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы работника;
5) предоставление субъекту персональных данных сведений, предусмотренных пп. 6.5, нарушает права и законные интересы третьих лиц.
6.7.Оператор обязан сообщить работнику информацию о наличии персональных данных, относящихся к соответствующему работнику, а также предоставить возможность ознакомления с этими персональными данными при обращении работника в течение тридцати дней с даты получения запроса работника.
В случае отказа в предоставлении информации оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на федеральный закон, являющийся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения работника с даты получения запроса.
Оператор обязан безвозмездно предоставить работнику возможность ознакомления с персональными данными, относящимися к соответствующему работнику.
В срок, не превышающий семи рабочих дней со дня предоставления работником сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления работником сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. О внесенных изменениях и предпринятых мерах оператор обязан уведомить работника и принять меры для уведомления третьих лиц, которым персональные данные субъекта были переданы.
6.8.В случае выявления недостоверных персональных данных или неправомерных действий с ними оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему работнику, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности персональных данных оператор на основании сведений, представленных работником, обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить работника.
6.9.В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.
6.10.В случае отзыва работником согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон. Об уничтожении персональных данных работодатель обязан уведомить работника.
6.11.Оператор до начала обработки персональных данных работника обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных пп. 6.14.
6.12.Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) сделанных работником общедоступными;
3) включающих в себя только фамилии, имена и отчества работников;
4) необходимых в целях однократного пропуска на территорию, на которой находится оператор, или в иных аналогичных целях;
5) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
6) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
- наименование и адрес оператора;
- цель обработки персональных данных;
- категории персональных данных и субъектов персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
- фамилия, имя, отчество физического лица ответственного за обработку персональных данных, номер контактного телефона;
- категории субъектов, почтовый адрес и адрес электронной почты;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки.
Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит указанные сведения, а также сведения о дате направления указанного уведомления в реестр операторов.
В случае изменения сведений, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
6.13.Лицо, ответственное за организацию обработки персональных данных, в частности обязано:
1) осуществлять внутренний контроль за соблюдением законодательства Российской Федерации о защите персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов работников.
7.Доступ к персональным данным и их передача
7.1.Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.
После увольнения работника документы, содержащие его персональные данные, хранятся в организации в течение сроков, установленных архивным законодательством.
7.2.Внешний доступ со стороны третьих лиц к персональным данным работника осуществляется только с письменного согласия работника, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью работника или других лиц, и иных случаев, установленных законодательством.
7.3.Оператор обязан сообщать персональные данные работника по надлежаще оформленным запросам суда, прокуратуры, правоохранительных органов.
7.4.При передаче персональных данных работника оператор должен соблюдать следующие требования:
7.4.1.Передача внешнему потребителю (приложение 4 ).
Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
При передаче персональных данных работника потребителям в коммерческих целях за пределы организации оператор не должен сообщать эти данные третьей стороне без письменного согласия работника.
Ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения главы Безлыченского сельского поселения и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений.
Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу.
Сведения передаются в письменной форме и должны иметь гриф конфиденциальности.
7.4.2.Передача внутреннему потребителю.
Работодатель вправе разрешать доступ к персональным данным работников только специально уполномоченным лицам.
Потребители персональных данных должны подписать соглашение о неразглашении персональных данных работников (приложение N 2 ).
8.Безопасность персональных данных
8.1.Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
8.2.Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности организации.
8.2.1."Внутренняя защита".
Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителем и работниками администрации Безлыченского сельского поселения. Для защиты персональных данных сотрудников работодатель обязан соблюдать следующие правила:
- ограничение состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
- избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов по защите персональных данных;
- разъяснительная работа с сотрудниками подразделения по предупреждению утраты сведений при работе с конфиденциальными документами;
- персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа.
8.2.2."Внешняя защита".
Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладеть информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности администрации, посетители, сотрудники других организационных структур.
Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в администрации Безлыченского сельского поселения.
9.Ответственность за разглашение конфиденциальной
информации, связанной с персональными данными
Каждый сотрудник администрации Безлыченского сельского поселения, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Лица, виновные в нарушении порядка обработки, сбора, хранения, использования или распространения персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Положением, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.