Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных в ГБУ «КЦСОН городского округа город Чкаловск»

1. Общие положения

1.1. Обеспечение конфиденциальности и безопасности обработки персональных данных в ГБУ КЦСОН городского округа город Чкаловск» (далее Учреждение) является одной из приоритетных задач Учреждения.

1.2. В Учреждении для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми работниками Учреждения, допущенными к обработке персональных данных.

1.3. Обработка, хранение, обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами Учреждения.

1.4. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей, контрагентов Учреждения и иных лиц, чьи персональные данные обрабатываются Учреждением, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.5. Настоящее положение является обязательным для исполнения всеми работниками Учреждения, имеющим доступ к персональным данным.

1.6. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона от 02.05.2006 № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в Учреждении, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Учреждению или субъектам персональных данных.

1.7. Основные понятия, используемые в Политике:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных - физическое лицо, определяемое (идентифицируемое) на основании персональных данных.

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных –  обработка персональных данных без использования средств автоматизации.

Распространение персональных данных - распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность персональных данных – требование обязательного соблюдения недопущения распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Контролируемая зона (КЗ) – это пространство, в котором исключено неконтролируемое пребывание сотрудников, не допущенных в установленном порядке к конфиденциальной информации, а также посетителей и посторонних лиц, технических и иных материальных средств.

Система защиты информации информационных систем (СЗИИС) – система по обеспечению безопасности информации, создаваемая в соответствии с нормативными правовыми актами с целью нейтрализации актуальных угроз безопасности информации. Система защиты информации включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности информации и информационных технологий, используемых в информационных системах.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Должностное лицо –  работник Учреждения правомочный  от имени Учреждения исполнять определенные, предусмотренные должностными обязанностями действия.

Получатель государственных и социальных услуг - гражданин, который признан нуждающимся в социальном обслуживании и которому предоставляются социальная услуга или социальные услуги, а так же гражданин, обратившийся за получением государственных услуг, предоставляемых Учреждением в соответствии с действующим законодательством.

В настоящей Политике используются следующие сокращения:

ИС – информационная система;

ИСПДн – информационная система персональных данных;

КЗ – контролируемая зона;

ПДн – персональные данные;

СЗИИС – система защиты информации информационных систем.

2. Понятие и состав персональных данных

2.1. Сведениями, составляющими персональные данные, в Учреждении является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Перечень персональных данных, подлежащих защите в Учреждении, определяется целями их обработки, Федеральным законом от 02.05.2006 № 152-ФЗ «О защите персональных данных», Трудовым кодексом РФ и другими нормативно-правовыми актами.

2.3. Учреждение обрабатывает персональные данные следующих категорий субъектов:

• работники Учреждения (в том числе лица, ранее состоявших в трудовых отношениях с Учреждением), члены семей работников;
• получатели социальных услуг и их законные представители;
• физические и юридические лица, состоящих в гражданско-правовых или иных договорных отношениях с Учреждением (контрагенты Учреждения);
• соискатели на вакантные должности;
• граждане, реализующие право на обращение (заявление, жалоба и др.) в соответствии Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
• студенты, проходящие производственную практику в Учреждении;
• физические лица, входящие в органы управления Учреждения (Попечительский, Общественный советы).

2.4. Перечень персональных данных каждой из перечисленных в п. 2.3. настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 4 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.

2.5. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении ПДн Учреждению и дает согласие на их обработку свободно, своей волей и в своих  интересах.

2.6. Учреждение обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

3. Цели обработки персональных данных

3.1. В целях реализации положений Политики в Учреждении разрабатываются локальные нормативные акты, регламентирующие вопросы обработки персональных данных.

3.2. Учреждение осуществляет обработку персональных данных в следующих целях:

• обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
• осуществление видов деятельности в соответствии с уставом Учреждения;
• оказание государственных услуг, предусмотренных законодательством Российской Федерации;
• ведение кадрового и бухгалтерского учета;
• ведение кадровой работы и делопроизводства;
• подбор персонала (соискателей) на вакантные должности в Учреждении;
• обеспечение прохождения ознакомительной, производственной и преддипломной практики на основании договора с учебным заведением;
• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
• заключение договорных отношений с физическими, юридическими лицами на оказание услуг и выполнение работ;
• рассмотрение обращений граждан.

4. Правовые основания обработки персональных данных

4.1. Обработка персональных данных осуществляется на основе:

• Конституции Российской Федерации;
• Трудового кодекса Российской Федерации;
• Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказа ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
• Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• Приказа ФНС от 17.11.2010 № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников»;
• Иных федеральных законов и нормативных правовых актов Российской Федерации, нормативных документов уполномоченных органов государственной власти и принятых на их основе нормативные правовых актов, регулирующих отношения, связанные с деятельностью Учреждения: устава Учреждения, договоров, соглашений, заключаемых между Учреждением и субъектом персональных данных, согласий на обработку персональных данных.

5. Сроки обработки персональных данных

5.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ.

5.2. В Учреждении создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Учреждении данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Права и обязанности

6.1. Учреждение как Оператор персональных данных в праве:

• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (правоохранительные, налоговые органы и др.), а также связано с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;
• информировать уполномоченный орган по защите прав субъектов персональных данных о принятых им мерах по защите персональных данных только по его запросу;
• использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством;
• отстаивать свои интересы в судебных органах.

6.2. Учреждение как Оператор персональных данных обязан:

• организовывать обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• при отказе в предоставлении персональных данных разъяснить субъекту последствия такого отказа;
• в случаях, если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
• внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его Политику в отношении обработки персональных данных, к сведениям о реализуемых требованиям к защите персональных данных;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении обработки персональных данных;
• устранять нарушения законодательства, допущенные при обработке персональных данных;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
• давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
• проводить ознакомление каждого нового работника, непосредственно осуществляющего обработку персональных данных, с требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных.

6.3. Субъект персональных данных имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Данное право человека и гражданина установлено статьей 23 Конституции Российской Федерации.

Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Сведения, должны быть представлены субъекту персональных данных  в доступной форме.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• применяемые способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• сроки обработки персональных данных, в том числе сроки их хранения;
• иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» или другими федеральными законами.

Субъект персональных данных вправе обжаловать действия (бездействия) Оператора, осуществляющего обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.4. Субъект персональных данных обязан:

• передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
• в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить уточненные персональные данные и подтвердить изменения оригиналами документов;
• выполнять требования законодательства Российской Федерации.

7. Порядок и условия обработки персональных данных

7.1. Обработка персональных данных в Учреждении осуществляется следующими способами: 

• обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных);
• автоматизированная обработка персональных данных (обработка персональных данных с помощью средств вычислительной техники) с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

7.2. Под обработкой персональных данных в Учреждении понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.3. Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

7.4. Учреждение вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

7.5. Обработка персональных данных в Учреждении производится на основе соблюдения принципов:

• законности целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

7.6. Отказ работника Учреждения, получателя социальных услуг, контрагента или иного субъекта персональных данных от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

7.7. Сведения, характеризующие физиологические и биологические характеристики человека, которые используются, для установления личности субъекта персональных данных (биометрические персональные данные), Учреждением не обрабатываются. Обработка фото- или видеоизображения субъекта персональных данных допускаются только с согласия на их обработку. Согласие на обработку фото- или видеоизображения не  требуется в случае, когда: изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования.

7.8. Обработка персональных данных о состоянии здоровья, судимости может осуществляться Учреждением в пределах полномочий, предоставленных ему в соответствии с законодательством Российской Федерации.

7.9. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Учреждением не осуществляется.

7.10. Трансграничная передача персональных данных на территорию иностранных государств Учреждением не осуществляется.

8. Обеспечение безопасности персональных данных

8.1. Учреждение предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования и других неправомерных действий.

8.2. В Учреждении для обеспечения безопасности персональных данных приняты следующие меры:

• назначено лицо, ответственное за организацию обработки персональных данных;
• назначен администратор безопасности автоматизированных информационных систем персональных данных;
• утверждены документы, определяющие Политику Учреждения в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: Политика в отношении обработки персональных данных; план мероприятий по обеспечению безопасности персональных данных в ИСПДн; перечень персональных данных, подлежащих обработке и защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня должностей, осуществляющих обработку персональных данных и имеющих доступ к персональным данным; положение по обработке и защите персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении перечня мест хранения материальных носителей персональных данных и ответственных за соблюдение материальных носителей персональных данных; инструкция администратора безопасности автоматизированных информационных систем персональных данных; инструкция пользователя при обработке персональных данных; инструкция ответственного за организацию обработки персональных данных;
• устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратора безопасности автоматизированных информационных систем персональных данных;
• внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности автоматизированных информационных систем персональных данных и положением об обработке и защите персональных данных;
• для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
• сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают обязательство о неразглашении конфиденциальной информации  (персональных данных), не содержащих сведений, составляющих государственную тайну, знакомятся с документами по защите персональных данных под роспись.

9. Заключительные положения

9.1. К настоящей Политике обеспечивается неограниченный доступ.

9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных в Учреждении.

9.4. Ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Учреждения.

Скачать графическую версию документа