АРХИВНОЕ УПРАВЛЕНИЕ

ТОМСКОЙ ОБЛАСТИ

РАСПОРЯЖЕНИЕ

02.12.2010 г. Томск № 000

Об утверждении Методических рекомендаций по защите персональных данных в Архивном управлении Томской области

и подведомственных ему архивных учреждениях

В целях защиты информации, относящейся к личности и личной жизни работников, от несанкционированного доступа в Архивном управлении Томской области и подведомственных ему архивных учреждениях:

1. Утвердить Методические рекомендации по защите персональных данных в Архивном управлении Томской области и подведомственных ему архивных учреждениях (далее – Методические рекомендации), разработанные в соответствии с Планом подготовки методических пособий архивными органами и учреждениями Томской области на 2годы.

2. Специалистам Архивного управления Томской области и подведомственных ему архивных учреждений, осуществляющим работу с персональными данными, руководствоваться в своей деятельности настоящими Методическими рекомендациями.

3. Контроль за исполнением настоящего Распоряжения возлагаю на заместителя начальника Архивного управления Томской области .

Начальник Управления

МЕТОДИЧЕСКИЕ РЕКоМЕНДАЦИИ
по защите персональных данных в Архивном управлении Томской области

и подведомственных ему архивных учреждениях

I. Общие положения

1. Методические рекомендации по защите персональных данных в Архивном управлении Томской области (далее – Архивное управление) и подведомственных ему архивных учреждениях (далее – Методические рекомендации) устанавливают порядок обработки и защиты персональных данных работников Архивного управления и подведомственных ему архивных учреждений, а также их права и обязанности.

2. Цель разработки Методических рекомендаций - защита информации, относящейся к личности и личной жизни работников от несанкционированного доступа к ним.

3. Методические рекомендации разработаны на основании статьи 24 Конституции Российской Федерации, Трудового кодекса Российской Федерации и Федерального закона от 01.01.01 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 01.01.01 года N 152-ФЗ "О персональных данных" (далее – ФЗ «О персональных данных»).

4. Методические рекомендации утверждаются Распоряжением Архивного управления. Изменения и дополнения в текст Методических рекомендаций вносятся на основании Распоряжения Архивного управления.

II. Понятие и состав персональных данных

5. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Конфиденциальность персональных данных обеспечивается в соответствии с ФЗ «О персональных данных».

6. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящими Методическими рекомендациями, относятся следующие сведения, содержащиеся в личных делах работников:

1) копии документа, удостоверяющего личность работника;

2) копия страхового свидетельства государственного пенсионного страхования;

3) копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

4) копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);

5) анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе - автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);

6) трудовой договор;

7) заключение по данным психологического исследования;

8) копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;

9) личная карточка по форме Т-2;

10) заявления, объяснительные и служебные записки работника;

11) документы о прохождении работником аттестации, собеседования, повышения квалификации;

12) сведения о заработной плате сотрудника;

13) сведения о социальных льготах;

14) состав декларируемых сведений о наличии материальных ценностей;

15) содержание декларации, подаваемой в налоговую инспекцию;

16) подлинники приказов по личному составу;

17) трудовые книжки сотрудников;

18) основания к приказам по личному составу;

19) дела, содержащие материалы служебных расследований;

20) копии отчетов, направляемых в органы статистики;

21) иные документы и сведения, подходящие под критерии определения понятия «персональные данные», данном в п. 5 настоящих Методических рекомендаций.

7. Личные дела работников Архивного управления и подведомственных ему архивных учреждений ведутся специалистами, ответственными за работу с кадрами, которые обеспечивают защиту персональных данных, содержащихся в них.

III. Доступ к персональным данным работника

8. Лица, получающие доступ к персональным данным работников, должны быть предупреждены о том, что эти данные используются только по прямому предназначению в соответствии с действующим законодательством Российской Федерации.

9. Доступ к персональным данным работника имеют следующие категории граждан:

1) руководящий состав и специалисты в соответствии с их должностными обязанностями (внутренний доступ). К ним относятся: руководитель организации, заместители руководителей, работники бухгалтерий, специалисты, ответственные за работу с кадрами.

2) представители других организаций (внешний доступ). К ним относятся: налоговые органы, правоохранительные органы, органы социального страхования, органы статистики, страховые агентства, пенсионные фонды, военкоматы) в соответствии с направлениями их деятельности (внешний доступ). Контрольно-надзорные органы имеют доступ к информации только в сфере своей компетенции. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

3) работники, носители данных. По письменному заявлению работника работодатель обязан в срок не позднее трех дней со дня подачи заявления выдать ему копии документов, связанных с его работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, периоде работы у данного работодателя и др.) Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.

4) родственники и члены семей работника, которые могут получить информацию о персональных данных работника, только с его письменного разрешения.

В случае развода бывшая супруга (супруг) может обратиться с письменным запросом о размере заработной платы своего бывшего супруга (супруги) без его (ее) согласия.

IV. Обработка персональных данных

10. Обработка персональных данных работника – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

11. Не допускается обработка персональных данных работника без его письменного согласия (форма письменного согласия работника на получение и обработку персональных данных приведено в Приложении № 1 к настоящим Методическим рекомендациям), кроме как на основании судебного решения.

12. Порядок обработки персональных данных работника определяется в соответствии с действующим законодательством с учетом норм настоящих Методических рекомендаций.

V. Порядок получения персональных данных.

13. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников. Если персональные данные работника можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

14. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

15. Работодатель не имеет права получать и обрабатывать персональные данные работника, касающиеся его политических, религиозных и иных убеждений, а также частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

16. Работодатель не имеет права получать и обрабатывать персональные данные работника, касающиеся его членства в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

VI. Порядок передачи персональных данных.

17. Разрешается передавать персональные данные работника его уполномоченным лицам в объеме, необходимом для выполнения конкретных функций, а также в порядке, установленном Трудовым кодексом Российской Федерации.

18. Разрешается передавать персональные данные работника его уполномоченным лицам в объеме, необходимом для выполнения конкретных функций, а также в порядке, установленном законодательствомТК РФ.

19. Запрещается передавать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это связано с необходимостью предупреждения об угрозе жизни и здоровью работника, а также в случаях, установленных федеральным законом.

20. Запрещается передавать данные о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции.

VII. Порядок хранения персональных данных.

21. Персональные данные на работника хранятся на бумажных носителях (в делах) и в электронном виде на персональных компьютерах специалистов, ответственных за работу с кадрами. Условия хранения должны соответствовать требованиям, предъявляемым действующим законодательством.

VIII. Порядок использования персональных данных.

22. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда работнику, затруднения реализации его прав и свобод.

23. Ограничение прав работника на основе использования информации о его социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

IХ. Защита персональных данных работника

24. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

1) ограничение и регламентацию состава работников, функциональные обязанности которых связаны с обработкой персональных данных работника;

2) соблюдение условий работы с персональными данными, установленных действующим законодательством;

3) организацию порядка уничтожения информации.

Документы, содержащие персональные данные, должны храниться как конфиденциальная информация с ограниченным доступом в закрытых шкафах либо сейфах, обеспечивающих защиту от несанкционированного доступа.

Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа, оснащены портативными жесткими дисками.

Для сохранности информации на электронных носителях должны быть предприняты меры по дублированию массивов и носителей информации и предотвращению внедрения в информационные системы вредоносных программ (программ-вирусов).

Требуется учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение.

Во время работы с персональными данными компьютеры должны быть отключены от сети.

Передача персональных данных работника осуществляется в специализированных программах с применением специальных средств защиты.

Передача персональных данных работника по телефону, факсимильной связи, электронной почте запрещается.

Ответы на письменные запросы о персональных данных работника даются в письменной форме на бланке письма организации.

25. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Архивного управления и подведомственных ему архивных учреждений, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов.

Для обеспечения внешней защиты персональных данных работников необходимо соблюдать ряд мер:

1) порядок приема, учета и контроля деятельности посетителей;

2) пропускной режим организации;

3) технические средства охраны, сигнализации;

4) порядок охраны территории, зданий, помещений, транспортных средств.

Все лица, имеющие доступ к персональным данным работников Архивного управления и подведомственных ему архивных учреждений, обязаны подписать обязательство о неразглашении персональных данных работников (Приложение ).

Обязанности по обеспечению неразглашения персональных данных, ставших известными при исполнении служебных обязанностей, включаются в должностной регламент (инструкцию).

Х. Права работника в сфере обеспечения защиты его персональных

данных, хранящихся у работодателя

26. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работник имеет право на следующее:

1) получение полной информации о своих персональных данных и обработке этих данных;

2) свободный бесплатный доступ к своим персональным данным;

3) получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральными законами;

4) определение своих представителей для защиты своих персональных данных;

5) свободный доступ к медицинским данным, составленным с помощью медицинского специалиста по выбору представителей работника;

6) требование исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Трудового кодекса Российской Федерации или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника, он имеет право заявить в письменной форме работодателю о своем несогласии с его отказом. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

7) требовать от работодателя, чтобы он известил всех лиц, которым ранее были сообщены неверные или неполные персональные данные, о внесенных дополнениях и исправлениях;

8) обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

ХI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

27. Лица, в соответствии со своими полномочиями владеющие персональными данными работника и документами, содержащими эту информацию, виновные в нарушении норм, регулирующих защиту персональных данных работника, привлекаются к ответственности в порядке, установленном федеральными законами.

Приложение N 1

Письменное согласие работника на получение и

обработку персональных данных

Приложение N 2