Портал правительства Москвы

ГБУ «Мосстройинформ»
О нас
Наша история
Документы
Устав
Положение о порядке работы и защите персональных данных
Антикоррупция
Проекты
Цифровая платформа взаимодействия участников строительства
Цифровой паспорт объекта капитального строительства
Суперсервис по программе реновации
Виртуальные туры
СтроимПросто
Единый контактный центр
Консультационная площадка
Библиотека архитекторов и урбанистов
Арт – студия
Услуги
Контакты

Положение о порядке работы и защите персональных данных в ГБУ «Мосстройинформ»

1. Общие положения

1.1. Настоящее Положение о порядке работы и защите персональных данных Государственного бюджетного учреждения города Москвы «Информационно-аналитический центр Комплекса градостроительной политики и строительства города Москвы «Мосстройинформ» (далее – Положение, Учреждение соответственно) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», Трудовым кодексом Российской Федерации и другими действующими нормативными правовыми актами Российской Федерации.

1.2. Цель настоящего Положения – защита персональных данных субъектов персональных данных Учреждения от несанкционированного доступа и разглашения в целях защиты прав и свобод человека при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные работников являются конфиденциальной, строго охраняемой информацией, в соответствии с действующим законодательством Российской Федерации.

1.3. Положение устанавливает порядок получения, учета, обработки, накопления и хранения информации, содержащей сведения, отнесенные к персональным данным Учреждения.

1.4. Учреждение является оператором следующих категорий персональных данных:

  • любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальная категория персональных данных: состояние здоровья;
  • биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных): фотографии.

1.5. Действие настоящего Положения не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в  установленном порядке к сведениям, составляющим государственную тайну.

1.6. Действия настоящего положения не распространяются на отношения, возникающие при обработке персональных данных пользователей Научно- технической библиотеки.

1.7. Положение и изменения к нему утверждаются приказом директора Учреждения. Все работники Учреждения должны быть ознакомлены под подпись с данным Положением и изменениями к нему.

1.8. Положение подлежит опубликованию на официальном сайте Учреждения.


2. Понятие и состав персональных данных

2.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

2.2. Персональные данные работников хранятся в Учреждении как в бумажном, так и в электронном виде:

  • персональные данные работников, содержащиеся на бумажных носителях, хранятся в запираемых шкафах, установленных на рабочих местах работников отдела кадров.
  • персональные данные работников в электронном виде могут храниться в информационных системах, к которым имеют доступ работники отдела кадров и бухгалтерии.

2.3. Состав персональных данных работника:

  • фамилия, имя, отчество, дата рождения, место рождения, пол, гражданство, включая прежние фамилии, имена и отчества, гражданство, включая сведения о документах, являющихся основанием для таких изменений (в случае изменения), фотография;
  • паспортные данные, адрес места жительства (по месту постоянной и временной регистрации, включая дату такой регистрации, по фактическому пребыванию), номер домашнего и мобильного телефона(ов), идентификационного номера налогоплательщика, номера страхового свидетельства государственного пенсионного страхования, сведений о медицинском страховом полисе;
  • выполняемая работы с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность), сведения о последнем месте гражданской службы и (или) гражданской службы субъекта Российской Федерации и (или) муниципальной службы;
  • сведения об образовании и повышении квалификации или наличия специальных знаний по профессии (специальности) - когда и какие образовательные учреждения закончил(а), номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому, сведений об уровне владения иностранным языком и языками народов РФ;
  • сведения об актах гражданского состояния;
  • сведения о признании недееспособным, ограниченно дееспособным, о судимости, о наличии административных и иных наказаний, о привлечении к ответственности;
  • сведения о состоянии здоровья, об инвалидности, временной нетрудоспособности в объеме, который относится к вопросу о возможности выполнения должностных обязанностей (трудовой функции);
  • сведения воинского учета.

2.4. Состав персональных данных субъекта персональных данных, обрабатываемых в целях исполнения гражданско-правового договора, сторонами которого являются Учреждение и субъект персональных данных:

  • фамилия, имя, отчество, дата рождения, место рождения;
  • паспортные данные, адрес электронной почты, номер телефона(ов), идентификационный номер налогоплательщика;
  • иные данные, включенные в договор, а также иные данные, необходимые для заключения, исполнения и расторжения договора.

Учреждение не вправе получать и обрабатывать данные субъекта персональных данных в объемах, превышающих необходимый, в целях исполнения гражданско-правового договора.

2.5. Обработка организована на принципах:

  • законности целей и способов обработки персональных данных, добросовестности и справедливости;
  • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;
  • недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • обработки только персональных данных, которые отвечают целям их обработки;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

2.6. Режим конфиденциальности персональных данных снимается в случаях обезличивания, если иное не определено законом.


3. Обязанности работодателя

3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.1.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.1.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника, полученные от него самого.

3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.1.5. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.6. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

3.2. Работодатель обязан брать письменное согласие с работника на обработку персональных данных по форме, установленной в Приложении № 1 к настоящему положению.


4. Обязанности работника

Работник обязан:

4.1. Передавать работодателю или его представителю комплект достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.

4.2. Своевременно в срок, не превышающий 5 рабочих дней, сообщать работодателю об изменении своих персональных данных.


5. Права работника

Работник имеет право:

5.1. На полную информацию о своих персональных данных и обработке этих данных.

5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных  законодательством Российской Федерации.

5.3. Требовать исправления неверных или неполных персональных данных. При отказе работодателя исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.4. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.


6. Сбор, обработка и хранение персональных данных работников

6.1. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

В уведомлении работника о получении его персональных данных у третьих лиц должна содержаться следующая информация:

  • о целях получения персональных данных;
  • о предполагаемых источниках и способах получения персональных данных;
  • о характере подлежащих получению персональных данных;
  • о последствиях отказа работника дать письменное согласие на их получение.

6.2. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. При приеме на работу последствия отказа работника дать письменное согласие на получение персональных данных оформляется в виде разъяснения по форме, указанной в Приложении № 2 к настоящему положению.

6.3. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

6.4. При поступлении на работу работник заполняет свою анкету в электронной форме и направляет ее сотруднику отдела кадров.


7. Сбор, обработка и хранение персональных данных субъекта персональных данных, обрабатываемых в целях исполнения гражданско-правового договора

7.1. Учреждение получает персональные данные лично от Субъекта договора при наличии письменного согласия последнего, которое хранится вместе с экземпляром договора Учреждения.

7.2. Персональные данные Субъекта договора хранятся в Учреждении как в бумажном, так и в электронном виде:

  • персональные данные Субъекта договора, содержащиеся на бумажных носителях, хранятся в запираемых шкафах, установленных на рабочих местах работников отделов, должностные обязанности которых предполагают непосредственную работу с персональными данными третьих лиц для исполнения условий договора, заключенного между Учреждением и субъектом гражданско-правового договора.
  • персональные данные Субъекта договора, в электронном виде могут храниться информационных системах, к которым имеют доступ работники отдела кадров и бухгалтерии, а также работники подразделений, ответственных за подготовку и исполнение договора.

7.3. Согласие Субъекта договора на сбор и обработку его персональных данных действует в течение всего срока действия гражданско-правового договора, заключенного с Учреждением, а после прекращения договорных отношений – до письменного отзыва данного Согласия, но не менее 5 лет.


8. Передача персональных данных

8.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

8.2. Трансграничная передача данных не допускается.


9. Доступ к персональным данным

9.1. Доступ к персональным данным, необходимым для выполнения должностных обязанностей, может быть предоставлен работнику Учреждения исключительно после подписания Обязательства о неразглашении персональных данных (Приложение №3 к настоящему положению).

9.2. Приказом руководителя Учреждения назначается лицо, ответственное за организацию обработки персональных данных, которое обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. Правила рассмотрения запросов субъектов персональных данных и их представителей указаны в Приложении № 4 к настоящему положению.

9.3. Внутренний доступ (доступ внутри Учреждения).

Право доступа к персональным данным работников имеют:

  • директор Учреждения и его заместители (по курируемым направлениям);
  • сотрудники кадровых подразделений и подразделений по работе с персоналом;
  • руководители структурных подразделений (доступ к личным данным только работников своего подразделения);
  • главный бухгалтер и сотрудники бухгалтерии;
  • сам работник-носитель данных.

Право доступа к персональным данным Субъектов гражданско-правовых договоров имеют:

  • директор Учреждения и его заместители (по курируемым направлениям);
  • сотрудники кадровых подразделений и подразделений по работе с персоналом;
  • главный бухгалтер и сотрудники бухгалтерии;
  • сотрудники юридического отдела;
  • сам Субъект гражданско-правового договора.

9.4. Внешний доступ.

а) Персональные данные работников могут представляться в государственные и негосударственные функциональные структуры:

  • налоговые инспекции;
  • правоохранительные органы;
  • органы статистики;
  • страховые агентства;
  • военкоматы;
  • органы социального страхования;
  • пенсионные фонды;
  • подразделения муниципальных органов управления,
  • кредитные организации (для начисления заработной платы, пособий, выплат и т.п.);
  • Департамент градостроительной политики города Москвы (для проведения внутренних аудитов на правах учредителя);
  • организации, обеспечивающей безопасность на территории работодателя, строго в необходимом для этого объеме.

б) Сведения о работнике (в том числе уволенном) могут быть предоставлены любой другой организации, не включенной в перечень пункта а), только с письменного запроса на бланке организации с приложением копии согласия работника на запрос.

в) Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

9.5. Работник Учреждения непосредственно осуществляющий обработку персональных данных, в случае расторжения с ним трудового договора обязан прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, о чем должен заполнить и подписать обязательство по форме, указанной в Приложении № 5 к настоящему положению.


10. Защита персональных данных работников

10.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников Учреждения все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

10.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Учреждения в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках Учреждения.

10.3. Документы, содержащие персональные данные работников, хранятся в шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

10.4. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

10.5. Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации указаны в Приложении № 6.

10.6. Порядок доступа в помещения Учреждения, в которых ведется обработка персональных данных указан в Приложении № 7.

10.7. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных указан в Приложении № 8.


11. Ответственность за разглашение информации, связанной с персональными данными

11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.