Политика в отношении персональных данных

1. Общие положения 1... Настоящая Политика в отношении обработки персональных данных (далее — Политика) ГКУ СО «ГУСЗН Самарского округа» (далее — Учреждение.) составлена в соответствии с требованиями пункта 2 части 1 и части 2 статьи 18.1 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и определяет основные цели, задачи, общие принципы и направления обеспечения надлежащей обработки персональных данных в Учреждении. 1.2. Политика обязательна для исполнения всеми лицами, непосредственно осуществляющими обработку персональных данных в Учреждении. 1.3. Основные понятия, используемые в Политике: автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); конфиденциальность персональных данных - обязательное для соблюдения в Учреждении требование не раскрывать третьим лицам персональные данные и не допускать их распространения без согласия субъекта персональных данных; информационная система (ИС) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных; обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; персональные данные (ИДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»; предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц; распространение персональных данных действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационнотелекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных; трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу; уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Все персональные данные в Учреждении, за исключением обезличенных и сделанных общедоступными субъектом персональных данных, признаются информацией ограниченного доступа. Необходимость соблюдения конфиденциальности такой информации — определена требованиями Федерального закона «О персональных данных». 1.4. Настоящая Политика предназначена для размещения в информационных ресурсах общественного пользования Учреждения. К настоящей Политике должен иметь доступ любой субъект персональных данных. 1.5. Основные права и обязанности Учреждения: 5 Должностные лица Учреждения, в обязанности которых входит обработка персональных данных субъектов, обязаны: обрабатывать персональные данные, полученные в установленном действующим законодательстве порядке; не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта; принимать меры по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, от их предоставления, распространения, а также от иных неправомерных действий; обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом; рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса). Учреждение обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных. Должностные лица Учреждения, в обязанности которых входит обработка персональных данных субъектов, в зависимости от целей обработки, вправе: получать документы, содержащие персональные данные: требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных. 1.6. Основные права`и обязанности субъектов персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей форме, подтверждающей факт его получения, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Учреждением. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе «О персональных данных», возлагается на Учреждение. Субъект персональных данных имеет право на: - полную информацию о Целях, способах и сроках обработки персональных данных; - доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом; - уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; - отзыв согласия на обработку персональных данных; - ограничение способов и форм обработки персональных данных, запрет на распространение персональных данных без его согласия; - принятие предусмотренных законом мер по защите своих прав; - обжалование действия или бездействия — Учреждения, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд; - осуществление иных прав, предусмотренных законодательством Российской Федерации. Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободу, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в Уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Субъекты персональных данных обязаны: - в случаях, предусмотренных законом или трудовым договором, передавать в Учреждение достоверные документы, содержащие персональные данные; - не предоставлять неверные персональные данные, а в случае изменений в персональных данных, обнаружения ошибок или неточностей в них (фамилия, место жительства ит. д.), незамедлительно сообщить об этом в Учреждение. 2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 2.1. — В Учреждении обрабатываются персональные данные в целях: — обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Учреждения; —обеспечения безопасных условий труда; —подбора персонала; — регулирования трудовых отношений с работниками Учреждения (содействие кандидатам в трудоустройстве, работникам в получении образования и продвижения по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества); - ведения налогового и бухгалтерского учёба; - ведения кадрового делопроизводства; - формирования документов индивидуального (персонифицированного) учёта; - подачи сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы; - ведения воинского учёта; - предоставления в государственные органы регламентированной отчётности; - исполнения прав и законных интересов Учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Учреждения; - исполнения обязательств, предусмотренных договорами; - обеспечения пропускного и внутриобъектового режимов на территории Учреждения; - участие в реализации политики Самарской области в сфере социальной защиты населения, направленной на повышение качества жизни отдельных категорий граждан, проживающих на соответствующей территории Самарской области; - обеспечение на соответствующей территории Самарской области реализации конкретных мер социальной поддержки семей с детьми, пожилых 8 граждан, ветеранов, инвалидов и иных категорий граждан, предоставляемых В форме различных видов социальных выплат и компенсаций; - В ИНЫХ законных целях. 3. ПРАВОВОЕ ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ За Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнении которых и в соответствии с которыми Учреждение осуществляет обработку персональных данных. Вл В качестве правового основания обработки персональных данных в Учреждении выступают: - Конституция Российской Федерации; -Гражданский кодекс Российской Федерации; -Семейный кодекс Российской Федерации; - ст. 86-90 Трудового кодекса Российской Федерации; - Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; - Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» Устав Учреждения; - иные нормативные акты РФ И уполномоченных органов государственной власти. 4. — ОБЪЕМ И КАТЕГОРИИ, ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 4.1. Объем персональных данных, обрабатываемых в Учреждении, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Учреждения с учётом целей обработки персональных данных, указанных в разделе 2 настоящей Политики. 4.2. В Учреждении осуществляется обработка персональных данных следующих категорий субъектов: - работников; - лиц, ранее состоявших в трудовых отношениях с Учреждением; - кандидатов на замещение вакантных должностей; - посетителей, пропускаемых на территорию Учреждения; - лиц, обращающихся за получением мер социальной поддержки. 4.3. Перечень обрабатываемых персональных данных работников и 9 лиц, ранее состоявших в трудовых отношениях с Учреждением: —Фамилия, имя, отчество; —Дата рождения; —Данные документа, удостоверяющего личность; —Данные об образовании; —Семейное положение; —Адрес места жительства; —Контактный телефон. 4.4. — Перечень обрабатываемых персональных данных кандидатов на замещение вакантных должностей: —Фамилия, имя, отчество; —Дата рождения; —Данные документа, удостоверяющего личность; —Данные об образовании; —Контактный телефон. 4.5. Перечень обрабатываемых персональных данных физических лиц по договорам гражданско-правового характера: - Фамилия, имя, отчество; - Данные об образовании; - Данные документа, удостоверяющего личность; - Семейное положение: - Адрес места жительства; - Контактный телефон. 4.6. Перечень обрабатываемых персональных данных посетителей, пропускаемых на территорию Учреждения: - Фамилия, имя, отчество; - Данные документа, удостоверяющего личность. 4.7. Перечень обрабатываемых персональных данных лиц, обращающихся за получением мер социальной поддержки: —Фамилия, имя, отчество; —Дата рождения; —Данные документа, удостоверяющего личность; —Семейное положение; —Адрес места жительства; —Контактный телефон. —Социальное положение; —Имущественное положение. 5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 10 Зы Учреждение при осуществлении обработки персональных данных: - принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Учреждения в области персональных данных; - принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, — изменения, блокирования, — копирования предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; - назначает лицо, ответственное за организацию обработки персональных данных в Учреждении; - назначает лицо, ответственных за обработку персональных данных в конкретных структурных подразделениях и информационных системах; - издает локальные нормативные акты, определяющие вопросы обработки и защиты персональных данных в Учреждении; - получает согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации: - осуществляет ознакомление работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальными нормативными актами Учреждения в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников; - обособляет персональные данные, обрабатываемые без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах; - обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях; - осуществляет хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним; - осуществляет хранение документов, содержащих персональные данные, при неавтоматизированной обработке (документы на бумажных носителях) в специально оборудованных помещениях, в сейфах или металлических шкафах с замками; - публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике; - сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к 11 соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации: - прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных; - осуществляет внутренний контроль соответствия обработки персональных данным нормативно правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Учреждения; - совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных. 5.2. — Обработка персональных данных в Учреждении осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных. 5.3. Учреждение без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом. Учреждение вправе осуществлять передачу данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации. 5.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных». ый. Учреждение в случае осуществления трансграничной передачи персональных данных обязана убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных. 5.6. Учреждение без согласия субъекта передает информацию о нем органам Сознания, следствия и др. в случаях, предусмотренных законом. ВЫ. Учреждение вправе поручить обработку персональных данных 12 другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальности персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к их защите. 5.8. В целях внутреннего информационного обеспечения Учреждение может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год рождения, адрес, абонентский номер, адрес электронной почты. 5. Доступ к обрабатываемым в Учреждении персональным данным разрешается только работникам Учреждения, согласно утверждённому перечню лиц, имеющим доступ к таким данным. 5.10. Учреждение осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. 5.11. Обработка персональных данных в Учреждении осуществляется следующими способами: - без использования средств вы числительной техники (неавтоматизированная обработка персональных данных); - автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; - смешанная обработка персональных данных. в При осуществлении хранения персональных данных Учреждение обязано использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». 6. АКТУАЛИЗАЦИЯ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ 6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их 13 актуализации в Учреждении, а обработка должна быть прекращена, соответственно. 6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если: — иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных; _ Учреждение не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами; — иное не предусмотрено иным соглашением между Учреждением и субъектом персональных данных. 6.3. Учреждение обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего. 7. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 7.1. Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных обеспечивается в Учреждении выполнением организационных, физических и технических мер. В отдельных случаях для выполнения части функций по обеспечению безопасности персональных данных в Учреждении могут привлекаться сторонние организации, имеющие оформленные в установленном порядке лицензии на осуществление деятельности по технической защите конфиденциальной информации. Па. Защите подлежат все обрабатываемые в Учреждении персональные данные, за исключением обезличенных персональных данных и персональных данных, сделанных общедоступными субъектом. И Общую организацию защиты персональных данных субъектов и контроль над соблюдением сотрудниками Учреждения мер и мероприятий по защите персональных данных осуществляет Ответственный за обеспечение безопасности персональных данных. 8 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 14 8.1. Настоящая Политика вводится в действие с момента её утверждения руководителем Учреждения. 8.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев: - при изменении законодательства Российской Федерации в области обработки и защиты персональных данных; - в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики; - по решению руководителя Учреждения; - при изменении целей обработки персональных данных; - при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых); - при применении новых технологий обработки и защиты персональных данных (в т. ч. передачи, хранения); - при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Учреждения. 8.3. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. 8.4. Должностные лица Учреждения, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную. — гражданско— правовую или уголовную ответственность в порядке, установленном федеральными закона.