В соответствии с Главой 14 Трудового кодекса Российской Федерации
п р и к а з ы в а ю:
1. Утвердить прилагаемое Положение об обработке и защите персональных данных работников федерального государственного бюджетного образовательного учреждения высшего образования
«Государственный университет управления» (далее — Положение).
2. Руководителем структурных подразделений ГУУ:
— ознакомить работников соответствующих структурных подразделений с Положением под роспись в срок до 10 октября 2019 г.
— предоставить листы ознакомления работников с Положением в Отдел кадров Управления делами в срок до 20 октября 2019 г.
3. Приказ ГУУ от 17 июня 2014 г. № 244/17-1 «Об утверждении Положения о защите персональных данных работников федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Государственный университет управления» признать утратившим силу.
4. Контроль за исполнением настоящего приказа оставляю за собой. Основание: решение Ученого совета от 24 сентября 2019 г. (протокол № 03).
Положение об обработке и защите персональных данных работников федерального государственного бюджетного образовательного учреждения высшего образования
«Государственный университет управления»
1. Общие положения
1.1. Положение об обработке и защите персональных данных работников федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Государственный университет управления» (далее — Положение) разработано в соответствии с законодательством Российской Федерации, в том числе Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и локальными нормативными актами федерального государственного бюджетного образовательного учреждения высшего образования «Государственный университет управления» (далее — ГУУ, Работодатель, оператор персональных данных).
1.2. Целью Положения является установление порядка получения, учета, обработки, использования, хранения, защиты персональных данных работников ГУУ от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении установленного законодательством Российской Федерации срока хранения.
1.4. Действие настоящего Положения не распространяется на отношения, возникающие при организации получения, учета, комплектования, обработки, использования, хранения персональные данные документов архивного фонда ГУУ.
I .5. Настоящее Положение является обязательным для исполнения всеми работниками ГУУ.
1.6. Работники должны быть ознакомлены под роспись с настоящим Положением.
2. Понятие и состав персональных данных
2.1. Персональные данные работника — информация, необходимая ГУУ, как работодателю для выполнения задач, функций и направлений деятельности, установленных уставом и касающаяся прямо или косвенно конкретного работника (субъекта персональных данных). Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. Персональные данные хранятся на бумажном (оригинал и/или копия) или электронном носителе (далее — носитель). Персональные данные работника, хранящиеся на электронных носителях, должны быть защищены паролем.
Пароль для персональных данных всех работников ГУУ, хранящихся на электронных носителях сообщается:
— ректору;
— начальнику Отдела кадров;
— ответственному за безопасность ГУУ работнику (руководителю структурного подразделения);
— начальнику Управления информационных технологий.
Пароль для персональных данных работников только своего структурного подразделения, хранящихся на электронных носителях сообщается:
— проректорам по направлению деятельности;
— руководителям соответствующих структурных подразделений и заместителем руководителей соответствующих структурных подразделений.
Пароль для персональных данных работников в пределах участков работы, хранящихся на электронных носителях, сообщается:
— руководителям структурных подразделений и заместителям руководителей структурных подразделений, работники которых имеют доступ к персональным данным в пределах своих участков работы.
2.2. В состав персональных данных работника, в том числе, входят:
— анкетные данные, в том числе домашний адрес и телефон, паспортные и биографические данные, сведения об образовании, стаже, семейном положении и составе семьи, о предыдущих местах работы, месте работы (учебы) членов семьи, воинском учете работника и наличии судимости, принадлежности лица к конкретной нации, этнической гpyппe, pace, привычках, в том числе вредных, религиозных и политических убеждениях, результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
— сведения о заработной плате, социальных льготах, долгах, имущественном положении;
— условия трудового договора;
— декларируемые сведения о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию;
— оригиналы и копии приказов по личному составу, основания к приказам по личному составу, личное дело и трудовая книжка работника, копии документов об образовании, рекомендации и характеристики, которые носят оценочный характер, фотографии;
— материалы по повышению квалификации, профессиональной переподготовке, аттестации работника, служебным расследованиям;
— копии ответов, направляемые в органы статистики и иные государственные, муниципальные органы и органы местного самоуправления;
— иная информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
2.3. Документы и сведения, указанные в п. 2.2. настоящего Положения, являются конфиденциальными. Учитывая их массовость и единое место учета, обработки и хранения — соответствующий гриф ограничения на них может не славится.
2.4. Все лица, обеспечивающие обработку персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников (Приложение 1), которое хранится у начальника Отдела кадров.
3. Обработка персональных данных
3.1. Под обработкой персональных данных работника понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.2. Работники ГУУ занимающиеся обработкой персональных данных обязаны соблюдать следующие общие требования:
3.2.1. Обработка персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, обеспечения содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2. При определении объема и содержания обрабатываемых персональных данных необходимо руководствоваться законодательством Российской Федерации и локальными нормативными актами ГУУ.
3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
3.2.4. Персональные данные следует получать у самого работника. Если персональные данные работника необходимо получить из других источников, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное информативное согласие на обработку персональных данных оператором персональных данных (Приложение 2). ГУУ должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2.5. ГУУ не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни (сведения о его происхождении, о месте его пребывания или жительства, о личной и семейной, бытовой жизни). В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника могут быть получены и обработаны только с его письменного согласия.
ГУУ не имеет право получать и обрабатывать персональные данные работника о его членстве в профсоюзе или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами, о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
3.2.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3. Работник представляет ГУУ достоверные сведения о себе. ГУУ проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
3.4. К персональным данным работника имеют доступ:
3.4.1. Право полного доступа:
— ректор;
— начальник Отдела кадров, заместители начальника Отдела кадров;
— ответственный за безопасность ГУУ работник (руководитель структурного подразделения);
— ответственный за юридическое сопровождение ГУУ работник.
3.4.2. Право ограниченного доступа:
3.4.2.1. Доступ к персональным данным работников только своего подразделения:
— проректоры по направлению деятельности, руководители и заместители руководителей соответствующих структурных подразделений.
3.4.2.2. Доступ к персональным данным работ гав в пределах своих участков работы:
— работники структурных подразделений в рамках исполнения
должностных обязанностей.
3.4.2.3. Доступ по запрос у (Приложение 3):
— иные работники ГУУ при выполнении ими отдельных поручений ректора.
3.5. Контрольно-надзорные органы Российской Федерации имеют доступ к персональным данным работников ГУУ только в сфере своей компетенции.
Сведения о работнике, в том числе уволенном могут быть предоставлены другому юридическому лицу или индивидуальному предпринимателю только по письменному запросу с приложением нотариально заверенного согласия работника.
3.6. Лицам, имеющим право полного доступа, персональные данные предоставляются руководителем структурного подразделения, где хранится носитель, в течение одного часа после получения требования о предоставлении таких данных. Возврат оригинала носителя осуществляется в тот же или на следующий день за днем затребования, руководителю структурного подразделения, где хранится носитель.
На выходные (праздничные) дни оригинал носителя персональных данных возвращается руководителю структурного подразделения, где хранится носитель.
3.7. Лицам, имеющим право ограниченного доступа, персональные данные предоставляются руководителем структурного подразделения, где хранится носитель, в течение рабочего дня, а в исключительных случаях в течение одного часа, после получения письменного требования о предоставлении или запроса о доступе к персональным данным, при наличии положительной резолюции ректора соответственно (если это не связано с участком работы). Возврат оригинала носителя производится по мере завершения работы с носителем (но не позже трех дней после получения), руководителю структурного подразделения, где хранится носитель.
На выходные (праздничные) дни оригинал носителя персональных данных возвращается руководителю структурного подразделения, где хранится носитель.
3.8. Работники структурных подразделений ГУУ, где хранятся носители персональных данных, ведут Журнал учета выдачи носителей (далее Журнал) (Приложение 4). Лицо, затребовавшее носитель обязано расписаться в Журнале о получении носителя и о его возврате.
3.9. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
3.10. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и преследуется в соответствии с законодательством Российской Федерации.
3.11. Для защиты персональных данных работника должны соблюдаться следующие требования:
— запрещается предоставление персональных данных работника без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством Российской Федерации;
— запрещается предоставление и использование персональных данных работника в коммерческих целях без его письменного согласия;
— необходимо предупреждать лицо, получающее персональные данные работника, о том, что персональные данные могут быть использованы лишь в целях, для которых эти данные были затребованы. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
— передавать персональные данные работника представителям работников в порядке, установленном Tpyдoвым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
— выдача разрешения ректором на доступ или передачу персональных данных работников, лицам, не имеющим права доступа к персональным данным, в соответствии с данным Положением.
3.12. Все меры конфиденциальности при защите персональных данных работника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.13. Не допускается передача персональных данных по телефону, факсу, в сети Интернет.
3.14. Защита персональных данных должна происходить в порядке, исключающем их утрату или их неправомерное использование.
3.15. При необходимости блокирование и удаление персональных данных производится на основании приказа ректора.
3.16. Уничтожение персональных данных производится по Акту уничтожения носителя персональных данных (далее — Акт) (Приложение 5), подписанному ректором или иным уполномоченным лицом с соблюдением требований законодательства по архивному делу. Уничтожение бумажных и электронных носителей производится механическим путем, путем разрезания, сжигания, сдачи предприятию по утилизации вторичного сырья, способ указывается в Акте.
4. Защита персональных данных
4.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное,
активное или пассивное проявление возможностей внешних или внутренних источников у грозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
4.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
4.3. Защита персональных данных представляет собой жестко регламентированный динамическо — технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе деятельности ГУУ.
4.4. Обеспечение безопасности персональных данных достигается оператором персональных данных, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Организация защиты персональных данных осуществляется Управлением информационных технологий и иными структурными подразделениями, в функции которых входит обеспечение информационной безопасности.
4.5. Регламентация доступа к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и иными работниками ГУУ.
4.6. В целях обеспечения сохранности и конфиденциальности персональных данных работников ГУУ все операции по оформлению, формированию, ведению и хранению личных дел должны выполняться только работниками Отдела кадров (ответвленные за организацию обработки персональных данных), осуществляющими данную работу в соответствии со своими должностными инструкциями и выполняют обязанности, предусмотренные законодательством Российской Федерации в сфере защиты персональных данных.
Ответы на письменные запросы других организаций, физических лиц в пределах их компетенции и предоставленных полномочий даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках.
4.7. Для обеспечения защиты персональных данных работников необходимо соблюдать ряд мер:
— строгое избирательное и обоснованное распределение документов и информации между работниками;
— рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
— знание работником требований нормативных правовых актов по защите информации;
— наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
— определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в которых происходит защита персональных данных;
— организация порядка уничтожения информации;
— своевременное выявление нарушений требований разрешительной системы доступа работниками;
— воспитательная и разъяснительная работа с работниками по предупреждению утраты персональных данных при работе с конфиденциальными документами.
4.8. Для обеспечения защиты персональных данных работников необходимо соблюдать ряд мер:
— регламентированный порядок приема, учета и контроля деятельности посетителей;
— пропускной режим в ГУУ;
— учет и порядок выдачи удостоверений работникам и пропусков в ГУУ;
— наличие технических средств охраны, сигнализации;
— наличие запирающихся шкафов (сейфов), обеспечивающих защиту личных дел от несанкционированного доступа.
4.9. По возможности, персональные данные обезличиваются.
4.10. В целях защиты персональных данных, хранящихся в ГУУ, работник имеет право:
— получать информацию, касающуюся обработки его персональных данных, в том числе подтверждение факта обработки персональных данных, правовые основания и цели обработки персональных данных, сроки обработки персональных данных, в том числе сроки их хранения и иные сведения, предусмотренные законодательством Российской Федерации по защите персональных данных;
— требовать исключения или исправления неверных или неполных персональных данных;
— получать свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
— дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
— определять своих представителей для защиты своих персональных данных;
— обжаловать действия или бездействие ответственных за обработку персональных данных структурных подразделений ГУУ.
4.11. В случае выявления неправомерной обработки персональных данных оператор персональных данных осуществляет блокирование персональных данных в соответствии с требованиями законодательства Российской Федерации.
5. Ответственность за разглашение персональных данных
5.1. Работник, имеющий доступ к персональным данным несет ответственность за сохранности носителя и конфиденциальность информации, содержащей персональные данные. Персональная ответственность — одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
5.2. Лица, виновные в нарушении норм, регулирующих защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.