Политика конфиденциальности

Приложение №1

к приказу директора МБУ СО

Ужурского района «КЦСОН»

от «17» сентября 2018 г. № 130-ОД

Политика

в отношении обработки персональных данных

муниципального бюджетного учреждения социального обслуживания

«Комплексный центр социального обслуживания населения»

г. Ужур

I. Назначение

 Политика в отношении обработки персональных данных в МБУ СО Ужурского района «КЦСОН» (далее – Политика) регламентирует обработку персональных данных в МБУ СО Ужурского района «КЦСОН»  (далее – МБУ СО Ужурского района «КЦСОН»).

 Политика разработана в соответствии c Федеральным законом от 27 июля 2006 года № 149-ФЗ  «Об информации, информационных технологиях и о защите информации», Федеральным Законом от 27 июля 2006 года №152-ФЗ «О персональных данных», «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 и другими нормативно правовыми актами, регламентирующие работу в сфере защиты конфиденциальной информации

 В соответствии с указанными правовыми нормами настоящая Политика содержит следующие правила и образцы документов, регламентирующие:

правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

  • правила рассмотрения запросов субъектов персональных данных или их законных представителей;
  • правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
  • правила работы с обезличенными данными;
  • перечень информационных систем персональных данных;
  • перечень персональных данных, обрабатываемых в МБУ СО Ужурского района «КЦСОН» в связи с реализацией трудовых отношений;
  • перечень должностей сотрудников МБУ СО Ужурского района «КЦСОН» ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
  • типовую форму согласия на обработку персональных данных гражданских служащих и работников МБУ СО Ужурского района «КЦСОН» иных субъектов персональных данных, а также типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
  • порядок доступа сотрудников МБУ СО Ужурского района «КЦСОН» в помещения, в которых ведется обработка персональных данных.

II. Область применения

 Настоящая Политика применяются в МБУ СО Ужурского района «КЦСОН» обрабатывающими персональные данные в электронном виде и на бумажных носителях.

III. Термины, обозначения, сокращения

В настоящей Политике используются следующие термины и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Должностное лицо –  работник МБУ СО Ужурского района «КЦСОН» правомочный  от имени МБУ СО Ужурского района «КЦСОН» исполнять определенные, предусмотренные должностными обязанностями действия.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – требование обязательного соблюдения недопущения распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона – это пространство, в котором исключено неконтролируемое пребывание сотрудников, не допущенных в установленном порядке к конфиденциальной информации, а также посетителей оператора и посторонних лиц, технических и иных материальных средств.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Получатель государственных и социальных услуг – гражданин, который признан нуждающимся в социальном обслуживании и которому предоставляются социальная услуга или социальные услуги, а так же гражданин, обратившийся за получением государственных услуг, предоставляемых МБУ СО Ужурского района «КЦСОН»  в соответствии с действующим законодательством.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Перечень Главархива – «Перечень типовых документов, образующихся в деятельности госкомитетов, министерств, ведомств и других учреждений, организаций, предприятий, с указанием сроков хранения» (утв. Главархивом СССР 15.08.1988).

Перечень Минкультуры – «Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденный приказом министерством культуры Российской Федерации от 25.08.2010  №558. Перечни типовых архивных документов с указанием сроков их хранения утверждаются уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти (часть 3 статьи 6 Федерального закона от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»). В соответствии с Указом Президента РФ от 12.05.2008 № «Вопросы системы и структуры федеральных органов исполнительной власти» и п.5.2.6  Положения о министерстве культуры Российской Федерации, утвержденного   Постановлением Правительства РФ от 20.07.2011 №590 в настоящее время  таким федеральным органом исполнительной власти является министерство культуры Российской Федерации   (Минкультуры).

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Распространение персональных данных – распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Система защиты информации информационных систем (СЗИИС) – 1) система по обеспечению безопасности информации, создаваемая в соответствии с нормативными правовыми актами с целью нейтрализации актуальных угроз безопасности информации; 2)  система защиты информации включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности информации и информационных технологий, используемых в информационных системах.

Субъект персональных данных – физическое лицо, определяемое (идентифицируемое) на основании персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

В настоящем Положении используются следующие сокращения:

  • ИС– информационная система;
  • ИСПДн – информационная система персональных данных;
  • КЗ – контролируемая зона;
  • ПДн – персональные данные;
  • СЗИИС – система защиты информации информационных систем.

 

IV. Персональные данные

Категории персональных данных, обрабатываемых МБУ СО Ужурского района «КЦСОН»

 По логическим основаниям персональные данные, обрабатываемые МБУ СО Ужурского района «КЦСОН», подразделяются на следующие категории:

  • персональные данные, подразделяемые по категориям субъектов ПДн;
  • персональные данные, подразделяемые по правовому режиму их защиты, которые подразделяются на персональные данные общеправового режима защиты и персональные данные особого правового режима защиты.

Персональные данные субъектов ПДн, обрабатываемые МБУ СО Ужурского района «КЦСОН»

Перечень субъектов, чьи персональные данные обрабатываются  МБУ СО Ужурского района «КЦСОН»

МБУ СО Ужурского района «КЦСОН» обрабатывает персональные данные следующих групп субъектов:

работников МБУ СО Ужурского района «КЦСОН»

должностных лиц МБУ СО Ужурского района «КЦСОН» чьи персональные данные размещены с их согласия в общедоступных источниках;

получателей социальных услуг;

лиц, обратившихся в МБУ СО Ужурского района «КЦСОН» по различным вопросам;

Перечень персональных  данных, обрабатываемых МБУ СО Ужурского района «КЦСОН»

МБУ СО Ужурского района «КЦСОН» обрабатывает следующие персональные данные работников:

  • анкета;
  • автобиография;
  • сведения- и копии документов об образовании;
  • сведения о составе семьи;
  • паспортные данные;
  • сведения о воинском учете;
  • сведения о заработной плате сотрудника;
  • занимаемая должность;
  • наличие судимостей;
  • адрес места жительства;
  • домашний телефон;
  • содержание трудового договора;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • личные дела и трудовые книжки сотрудников;
  • результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
  • фотографии и иные сведения, относящиеся к персональным данным работника;

 

Перечень обрабатываемых МБУ СО Ужурского района «КЦСОН» персональных данных должностных лиц, чьи персональные данные размещены с их согласия в общедоступных источниках

МБУ СО Ужурского района «КЦСОН» обрабатывает следующие персональные данные должностных лиц учреждения, чьи персональные данные размещены с их согласия в общедоступных источниках:

  • фамилия, имя, отчество;
  • год рождения;
  • место рождения;
  • сведения о профессии
  • фото- видео-материалы для размещения на официальном сайте учреждения и СМИ, с целью формирования имиджа учреждения

 

Перечень обрабатываемых МБУ СО Ужурского района «КЦСОН» персональных данных  лиц получателей государственных или социальных услуг

МБУ СО Ужурского района «КЦСОН» обрабатывает персональные данные получателей государственных или социальных услуг:

  • регистрационный номер учетной записи;
  • фамилия, имя, отчество;
  • дата рождения;
  • пол;
  • адрес (место жительства), контактный телефон;
  • страховой номер индивидуального лицевого счета;
  • серия, номер паспорта или данные иного документа, удостоверяющего личность, дата выдачи этих документов и наименование выдавшего их органа;
  • иная информация, определенная Правительством Российской Федерации и необходимая для предоставления заявителю государственных и социальных услуг.
  • Перечень персональных данных субъектов ПДн, обратившихся в МБУ СО Ужурского района «КЦСОН» как оператору персональных данных в порядке ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» 
  • Фото и видео-материалы для размещения на официальном сайте учреждения и СМИ, с целью формирования имиджа учреждения.

МБУ СО Ужурского района «КЦСОН» обрабатывает  следующие персональные данные указанной группы субъектов:

  • фамилия, имя отчество;
  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

V. Правила обработки персональных данных

 Обработка персональных данных должна осуществляться на законной и справедливой основе.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Основания и цели обработки персональных данных работников МБУ СО Ужурского района «КЦСОН» являются:

  • ст.57 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ;
  • ст.8 Федерального закона от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе»;
  • трудовой договор, заключаемый МБУ СО Ужурского района «КЦСОН» с каждым работником отдельно.

МБУ СО Ужурского района «КЦСОН» обрабатывает персональные данные  работников исключительно в целях  обеспечения соблюдения Конституции Российской Федерации, Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ, других законов и иных нормативных правовых актов, трудового договора, заключенного между работником и МБУ СО Ужурского района «КЦСОН» ,содействия работнику в исполнении работы, его обучении и должностном росте, обеспечения личной безопасности работника и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества, учета результатов исполнения им должностных обязанностей и обеспечения сохранности имущества в  МБУ СО Ужурского района «КЦСОН». В соответствии с ч.7 ст.5 Федерального закона от 27.07.2006 № 152-ФЗ   «О персональных данных»  цель обработки персональных данных  названной категории субъектов ПДн достигается по истечении срока хранения указанных документов. Цель обработки персональных данных названной категории субъектов ПДн не может быть достигнута в случае расторжения с ними трудового договора или отзыва ими своего ранее данного согласия на обработку персональных данных в связи с тем, что хранение персональных данных является одним из видов их обработки.

Основания и цели обработки персональных данных должностных лиц МБУ СО Ужурского района «КЦСОН», чьи персональные данные размещены с их согласия в общедоступных источниках

Основанием для обработки, в том числе  с использованием средств автоматизации, персональных данных  должностных лиц МБУ СО Ужурского района «КЦСОН», чьи персональные данные размещены с их согласия в общедоступных источниках, является ст.8 Федерального закона от 27.07.2006 № 152-ФЗ   «О персональных данных» .

Персональные данные работника, указанные настоящей Политики, МБУ СО Ужурского района «КЦСОН»,  вправе размещать в общедоступных источниках  только в целях организации управления и информирования граждан о деятельности .

Цель обработки персональных данных указанной категории субъектов достигается:

  • в случае увольнения субъекта персональных данных МБУ СО Ужурского района «КЦСОН» (перевода на другое место работы) или его смерти;
  • в случае отзыва субъектом персональных данных ранее данного согласия на обработку персональных данных в порядке ч.2 ст.8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» .

При достижении  целей обработка указанной категории персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в срок, не превышающий тридцати дней, если иное не определено федеральными законами.

Основания и цели обработки, в том числе с использованием средств автоматизации, персональных данных получателей государственных и социальных услуг

Основанием для обработки, в том числе с использованием средств автоматизации, персональных данных получателей государственных и социальных услуг является исполнение полномочий, возложенных на МБУ СО Ужурского района «КЦСОН»,  в соответствии с Уставом и  Положением о МБУ СО Ужурского района «КЦСОН».

МБУ СО Ужурского района «КЦСОН» обрабатывает персональные данные получателей государственных и социальных услуг исключительно в целях обеспечения сбора, хранения, обработки и предоставления информации о получателях государственных и социальных услуг.

Цель обработки персональных данных субъекта категории, указанной в настоящей Политике, достигается после расторжение договора о предоставлении социальных услуг или после окончания предоставления государственных услуг.

При достижении  целей обработка указанной категории персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в срок, не превышающий тридцати дней, если иное не определено действующим законодательством (например, по истечении срока исковой давности).

Основания и цели обработки, в том числе  с использованием средств автоматизации, персональных данных лиц, обратившихся в МБУ СО Ужурского района «КЦСОН» по различным вопросам

При  обращении лиц в МБУ СО Ужурского района «КЦСОН» по различным вопросам, обрабатывает персональные данные  следующих категорий субъектов:

  • граждан, обратившихся в МБУ СО Ужурского района «КЦСОН» для обжалования решений, действий или бездействия сотрудников МБУ СО Ужурского района «КЦСОН» в порядке требований ч.4 ст. 1 Федерального закона от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
  • субъектов ПДн, обратившихся в МБУ СО Ужурского района «КЦСОН» как оператору персональных данных в порядке ст.14 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных».

Основания и цели обработки, в том числе  с использованием средств автоматизации, персональных данных субъектов ПДн, обратившихся в МБУ СО Ужурского района «КЦСОН»  как оператору персональных данных в порядке ст.14 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных»

Основанием обработки, в том числе  с использованием средств автоматизации,  персональных данных субъектов ПДн, обратившихся в МБУ СО Ужурского района «КЦСОН» как оператору персональных данных, является ст.14 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных» .

МБУ СО Ужурского района «КЦСОН»  обрабатывает персональные данные  указанной категории субъектов исключительно в целях охраны  имущественных и личных неимущественных прав субъектов ПДн.

В связи с тем,  что в соответствии со ст.183 Перечня Минкультуры обращения граждан (предложения, заявления, жалобы, претензии и др.), а также документы (справки, сведения, переписка) по их рассмотрению имеют различные сроки хранения, то в соответствии  с ч.7 ст.5 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных», цель обработки персональных данных  указанной  категории достигается по истечении срока хранения указанных документов, т.к. хранение  является одним из видов обработки персональных данных.

При достижении  целей обработка указанной категории персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в срок, не превышающий тридцати дней, если иное не определено федеральными законами.

 Источники получения персональных данных

МБУ СО Ужурского района «КЦСОН» все необходимые персональные данные работника получает у него самого. В случае возникновения необходимости получения персональных данных работника у третьей стороны работник извещается об этом заранее, при этом получается его письменное согласие и работнику сообщается о целях, предполагаемых источниках и способах получения персональных данных.

Все необходимые персональные данные должностных лиц МБУ СО Ужурского района «КЦСОН», чьи персональные данные размещены  в общедоступных источниках, получает от самих субъектов ПДн или в отделе по работе с персоналом МБУ СО Ужурского района «КЦСОН» с письменного согласия субъекта персональных данных.

МБУ СО Ужурского района «КЦСОН» все необходимые персональные данные лиц, обратившихся в  МБУ СО Ужурского района «КЦСОН» по различным вопросам, получает от них самих. Субъекту ПДн доводятся последствия отказа от предоставления персональных данных МБУ СО Ужурского района «КЦСОН» путем разъяснения необходимости предоставления ПДн и заполнения Типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.

МБУ СО Ужурского района «КЦСОН» все необходимые  персональные данные руководителей юридических лиц, а также физических лиц, с которыми  заключены государственные  контракты (гражданско-правовые договоры), получает от них самих.

Получение МБУ СО Ужурского района «КЦСОН» согласия работников на обработку их персональных данных и порядок отзыва  ранее данного согласия на обработку ПДн

В соответствии со ст.23 и ст.24 Конституции Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 №6-ФКЗ, от 30.12.2008 №7-ФКЗ, от 05.02.2014 №2-ФКЗ, от 21.07.2014 №11-ФКЗ); ч. 3 ст.86  Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ; п.1.ч.1 ст.6 и ч.4 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных»  в случаях, непосредственно связанных с вопросами трудовых отношений, должностные лица МБУ СО Ужурского района «КЦСОН» вправе получать и обрабатывать данные о частной жизни работника только с  его письменного согласия.

Письменное согласие работника на обработку его персональных данных оформляется  по указанному ниже образцу и хранится в личном деле работника срок, установленный законом, если субъектом персональных данных данное согласие не будет в законном порядке отозвано.

В соответствии с ч.2 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных работник вправе отозвать свое согласие на обработку своих персональных данных.        

Получение согласия должностных лиц МБУ СО Ужурского района «КЦСОН» на размещение их персональных данных в общедоступных источниках и порядок отзыва согласия  на размещение ПДн в общедоступных источниках

В соответствии с ч.1 ст.8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» могут создаваться общедоступные источники персональных данных (телефонные справочники служебных телефонов, размещение информации на официальном сайте МБУ СО Ужурского района «КЦСОН»» и рекламных плакатах, печатных изданиях   и др.).

МБУ СО Ужурского района «КЦСОН» вправе разместить в общедоступных источниках  персональные данные    должностных лиц МБУ СО Ужурского района «КЦСОН» только с их письменного согласия.

Должностное лицо МБУ СО Ужурского района «КЦСОН», ответственное за размещение персональных данных заявителя в общедоступном источнике, обязано удалить  указанные персональные данные заявителя из общедоступного источника.

Получение согласия на обработку персональных данных  получателей государственных и социальных услуг,  и порядок отзыва данного согласия

МБУ СО Ужурского района «КЦСОН» не требуется получения согласия  на обработку ПДн от получателей государственных и социальных услуг, т.к.:

Государственные и социальные услуги оказываются по заявлениям субъектов ПДн во исполнение требований федеральных законов и подзаконных актов. Поэтому в соответствии с п.5  ч.1  ст.6 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных»  МБУ СО Ужурского района «КЦСОН» не требуется получения согласия  на обработку ПДн от указанной категории субъектов.

Обработка персональных данных получателей государственных услуг необходима для исполнения полномочий МБУ СО Ужурского района «КЦСОН» участвующего в предоставлении государственных услуг, предусмотренных Федеральным законом от 27.07.2010 №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», поэтому в соответствии с п.4  ч.1  ст.6 Федерального закона от 27.07.2006 №152-ФЗ  «О персональных данных»  МБУ СО Ужурского района «КЦСОН»  не требуется получения согласия  на обработку ПДн от указанной категории субъектов.

В связи с тем, что получение согласия получателей государственных и социальных услуг  не предусмотрено на законном основании, то   не предусматривается  сами форма и  процедура отзыва указанного согласия.

Получение согласия на обработку персональных данных лиц, обратившихся в МБУ СО Ужурского района «КЦСОН» с заявлениями по различным вопросам, и порядок отзыва данного согласия

В связи с тем, что обработка персональных данных лиц, обратившихся в МБУ СО Ужурского района «КЦСОН»  по различным вопросам, осуществляется в соответствии с требованиями:

  • Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; 
  • ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • В соответствии с п.2 ч.1 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»   получения согласия указанных лиц на обработку их ПДн не требуется.

В связи с тем, что получение согласия лиц, обратившихся в МБУ СО Ужурского района «КЦСОН»  по различным вопросам,  на обработку их персональных данных не предусмотрено на законном основании, то   не предусматриваются  сами форма и  процедура отзыва указанного согласия.

Обработка персональных данных с применением средств автоматизации

 В МБУ СО Ужурского района «КЦСОН» персональные данные сотрудников обрабатываются в ИТС «1С Предприятие».

В государственных информационных системах МБУ СО Ужурского района «КЦСОН» обрабатываются следующие персональные данные:

  • персональные данные льготных категорий граждан, которым оказываются государственные и социальные услуги:
  • в «АС «АСП»;
  • Конфигурация «Учет услуг и обслуживаемых граждан в центрах социального обслуживания населения»;
  • Регистр получателей социальный услуг.

Перечень информационных систем персональных данных МБУ СО Ужурского района «КЦСОН»  ведется администратором безопасности информации.

Правила обработки персональных данных без средств автоматизации

Обработка персональных данных, содержащихся в информационных  системах МБУ СО Ужурского района «КЦСОН», либо извлеченных из таких систем, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (сотрудника МБУ СО Ужурского района «КЦСОН»

В соответствии с ч.2. ст.1 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Обработка персональных данных в МБУ СО Ужурского района «КЦСОН», осуществляемая без использования средств автоматизации, должна применяться с учетом требований настоящей Политики.

Особенности организации обработки персональных данных, осуществляемой без средств  автоматизации

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели, обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

К обработке персональных данных, в том числе и без средств автоматизации, сотрудники МБУ СО Ужурского района «КЦСОН» должны допускаться  в  установленном порядке.

Сотрудники, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:

  • о факте обработки ими персональных данных, обработка которых осуществляется МБУ СО Ужурского района «КЦСОН» без использования средств автоматизации;
  • о категориях обрабатываемых персональных данных;
  • об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также приказами (приказами) МБУ СО Ужурского района «КЦСОН».

        Сотрудники МБУ СО Ужурского района «КЦСОН» должны быть ознакомлены  под   роспись в ведомостях ознакомления с требованиями:

  • Положения об ответственном за организацию обработки персональных данных в МБУ СО Ужурского района «КЦСОН»  утвержденного приказом директора МБУ СО Ужурского района «КЦСОН»
  • Положения об Экспертной комиссии по работе со сведениями конфиденциального характера МБУ СО Ужурского района «КЦСОН»;
  • приказа МБУ СО Ужурского района «КЦСОН» «Об утверждении мест хранения материальных носителей персональных данных в МБУ СО Ужурского района «КЦСОН»

        Ведомости ознакомления, указанные в настоящей Политике, должны храниться совместно с соответствующими им организационно – распорядительными  актами.

        При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес МБУ СО Ужурского района «КЦСОН» фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
  • типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
  • типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.

Для исполнения условий, указанных в настоящей Политике,  типовые формы, используемые сотрудниками  МБУ СО Ужурского района «КЦСОН» должны утверждаться внутренними организационно-распорядительными актами.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

  • при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
  • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

        Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

        Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменений,  либо путем изготовления нового материального носителя с уточненными персональными данными.

Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

Обработка персональных данных, осуществляемая  МБУ СО Ужурского района «КЦСОН»  без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Правила работы с обезличенными  данными

Обезличивание персональных данных является одним из видов их обработки.

Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности. Принцип конфиденциальности персональных данных не подлежит умалению в связи с  их обезличиванием.

Обезличивание персональных данных производится по достижении целей  их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

Цели обезличивания персональных данных

Обезличивание персональных данных производится для:

  • ведение статистических или иных исследовательских целей;
  • снижение возможного ущерба от разглашения защищаемых персональных данных;
  • снижение класса информационных систем персональных данных.

Требования, предъявляемые к  обезличенным персональным данным

Обезличенные персональные данные должны обладать следующими основными характеристиками (свойствами):

  • полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
  • структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
  • релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
  • семантическая целостность (сохранение семантики персональных данных при их обезличивании);
  • применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
  • анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

Требования, предъявляемые к методам обезличивания персональных данных

К характеристикам (свойствам) методов обезличивания персональных данных (далее – методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

  • обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
  • вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
  • изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
  • стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
  • возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
  • совместимость (возможность интеграции персональных данных, обезличенных различными методами);
  • параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
  • возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

Требования к методам обезличивания подразделяются на:

  • требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
  • требования к свойствам, которыми должен обладать метод обезличивания.
  • Требованиям к свойствам получаемых обезличенных данных включают в себя:
  • сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
  • сохранение структурированности обезличиваемых персональных данных;
  • сохранение семантической целостности обезличиваемых персональных данных;
  • анонимность отдельных данных не ниже заданного уровня.

К требованиям к свойствам метода обезличивания относятся:

  • обратимость (возможность проведения деобезличивания);
  • возможность обеспечения заданного уровня анонимности;
  • увеличение стойкости при увеличении объема обезличиваемых персональных данных.

Методы обезличивания персональных данных

Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.  К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

  • метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
  • метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
  • метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
  • метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).

Метод введения идентификаторов

Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

Метод обеспечивает следующие свойства обезличенных данных:

  • полнота;
  • структурированность;
  • семантическая целостность;
  • применимость.

Оценка свойств метода:

  • обратимость (метод позволяет провести процедуру деобезличивания);
  • вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
  • изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
  • стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
  • возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
  • совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
  • параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
  • возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

Лица, ответственные за обезличивание персональных данных

Обезличивание персональных данных производится специально назначенными должностными лицами МБУ СО Ужурского района «КЦСОН», включенными в Перечень должностных лиц МБУ СО Ужурского района «КЦСОН» ответственных за проведение мероприятий по обезличиванию персональных данных.

 В начале каждого года или по мере необходимости приказом  МБУ СО Ужурского района «КЦСОН» утверждается новая редакция Перечня должностных лиц МБУ СО Ужурского района «КЦСОН» ответственных за проведение мероприятий по обезличиванию персональных данных.

Сроки хранения и обработки персональных данных

При достижении  целей обработка персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в срок, не превышающий тридцати дней, если иное не определено действующим законодательством.

Порядок предоставления персональных данных по мотивированным запросам компетентных органов (организаций)

По общему правилу операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

В соответствии с федеральным законодательством МБУ СО Ужурского района «КЦСОН» обязано предоставлять  персональные данные субъектов следующим органам (организациям) или их должностным лицам:

  • по мотивированному запросу прокурора, руководителя следственного органа, следователя, органа дознания и дознавателя, предъявленному в пределах их полномочий, установленных Уголовно-процессуальным кодексом Российской Федерации”;
  • военным комиссариатам – сведения о воинском учете сотрудников (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение ВУС, категория годности к военной службе, наименование комиссариата по месту жительства, воинский учет (общий, специальный);
  • налоговым органам – фамилия, имя, отчество, дата и место рождения работника; его оклад; произведенные работнику начисления и выплаты, данные о заработной плате, номер лицевого счета в банке; табельный номер, суммарный доход с начала года;
  • территориальным органам Пенсионного фонда РФ – номер страхового свидетельства государственного пенсионного страхования работника, стаж для расчета страховой части пенсионных накоплений работнику;
  • участникам межведомственного взаимодействия в пределах их полномочий, установленных действующим законодательством.

Порядок уничтожения персональных данных в МБУ СО Ужурского района «КЦСОН» после достижения целей обработки

Уничтожение персональных данных в  МБУ СО Ужурского района «КЦСОН» производится  по акту в порядке Положения о конфиденциальной информации МБУ СО Ужурского района «КЦСОН»

Обязанности МБУ СО Ужурского района «КЦСОН» как оператора персональных данных

В соответствии со  ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных»,  МБУ СО Ужурского района «КЦСОН»,  как оператор персональных данных обязано безвозмездно предоставить по просьбе гражданина информацию об его персональных данных, указанных в настоящей Политике.

Если предоставление персональных данных является обязательным в соответствии с федеральным законом, должностные лица МБУ СО Ужурского района «КЦСОН» обязаны разъяснить субъекту ПДн юридические последствия отказа предоставить его персональные данные.

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных настоящей Политики, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

  • наименование и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • права субъекта персональных данных, установленные Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • источник получения персональных данных.

МБУ СО Ужурского района «КЦСОН» освобождается от обязанности предоставить субъекту персональных данных сведения, в случаях, если:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
  • персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
  • предоставление субъекту персональных данных нарушает  права  и законные интересы третьих лиц.

В соответствии  со ст. 20  Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных», МБУ СО Ужурского района «КЦСОН» обязан в порядке, предусмотренном, сообщить субъекту ПДн или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных, либо его представителя или в течении тридцати дней   с даты получения запроса субъекта персональных данных или его представителя.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте ПДн, либо отказа в предоставлении персональных данных субъекту ПДн или его представителю, МБУ СО Ужурского района «КЦСОН»  обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных»    или иного федерального закона, являющегося основанием для такого отказа, в срок, не превышающий тридцати  дней со дня обращения субъекта персональных данных или его представителя или с даты получения запроса субъекта персональных данных или его представителя.

МБУ СО Ужурского района «КЦСОН» как оператор обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, МБУ СО Ужурского района «КЦСОН» обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, МБУ СО Ужурского района «КЦСОН»  обязано уничтожить такие персональные данные. МБУ СО Ужурского района «КЦСОН» обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

МБУ СО Ужурского района «КЦСОН» обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

 В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных МБУ СО Ужурского района «КЦСОН» обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению МБУ СО Ужурского района «КЦСОН» с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных МБУ СО Ужурского района «КЦСОН» обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению МБУ СО Ужурского района «КЦСОН»  ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности обрабатываемых персональных данных МБУ СО Ужурского района «КЦСОН» на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано  уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению МБУ СО Ужурского района «КЦСОН» в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой МБУ СО Ужурского района «КЦСОН» или лицом, действующим по его поручению, МБУ СО Ужурского района «КЦСОН» в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по его поручению. В случае, если обеспечить правомерность обработки персональных данных невозможно, МБУ СО Ужурского района «КЦСОН»  в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных МБУ СО Ужурского района «КЦСОН» обязано  уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае достижения цели обработки персональных данных МБУ СО Ужурского района «КЦСОН» обязано  прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором,  стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо если МБУ СО Ужурского района «КЦСОН» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных МБУ СО Ужурского района «КЦСОН» обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению МБУ СО Ужурского района «КЦСОН» и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению МБУ СО Ужурского района «КЦСОН»)  в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо если МБУ СО Ужурского района «КЦСОН» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного настоящей Политики, МБУ СО Ужурского района «КЦСОН» осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению МБУ СО Ужурского района «КЦСОН» и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

МБУ СО Ужурского района «КЦСОН» обязано не принимать на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением следующих случаев:

        при наличии согласия в письменной форме субъекта персональных данных;

        в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

МБУ СО Ужурского района «КЦСОН» обязано разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

МБУ СО Ужурского района «КЦСОН» обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

VI. Требования к персоналу

 Категории персонала МБУ СО Ужурского района «КЦСОН»

  • сотрудники, имеющие доступ к ПДн сотрудников МБУ СО Ужурского района «КЦСОН»»;
  • сотрудники, имеющие доступ к ПДн получателей социальных услуг;
  • сотрудники, имеющие доступ к ПДн лиц, обратившихся в МБУ СО Ужурского района «КЦСОН»
  • сотрудники, имеющие доступ к ПДн;
  • сотрудники, не имеющие доступ к ПДн.

 Перечень должностей сотрудников МБУ СО Ужурского района «КЦСОН», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.

В связи с тем, что персональные данные являются одним из видов конфиденциальной информации, охраняемой законом, то в МБУ СО Ужурского района «КЦСОН» доступ к персональным данным осуществляется в соответствии с установленной разрешительной  системой доступа к конфиденциальной информации.

В соответствии с разрешительной системой доступа к конфиденциальной  информации в начале каждого года или по мере необходимости приказами   МБУ СО Ужурского района «КЦСОН» устанавливается Перечень должностей сотрудников, замещение которых предусматривает их допуск к конфиденциальной информации МБУ СО Ужурского района «КЦСОН» (Положение о конфиденциальной информации МБУ СО Ужурского района «КЦСОН»), утвержденный приказом МБУ СО Ужурского района «КЦСОН»

Доступ конкретных должностных лиц МБУ СО Ужурского района «КЦСОН» осуществляется в соответствии с Перечнем сведений конфиденциального характера МБУ СО Ужурского района «КЦСОН» утвержденного приказом директора МБУ СО Ужурского района «КЦСОН»

Порядок осуществления доступа  к  ПДн

Внутренний доступ (доступ внутри МБУ СО Ужурского района «КЦСОН»

Внутренний доступ к персональным данным имеют должностные лица МБУ СО Ужурского района «КЦСОН», допущенные к работе с ПДн как конкретной категории конфиденциальной информации  в  установленном порядке.

Внешний доступ

Надзорно – контрольные органы имеют доступ к информации только в сфере своей компетенции, на законных основаниях и  при наличии документов, на основании которых они проводят проверку.

Организации, в которые сотрудник МБУ СО Ужурского района «КЦСОН» может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным сотрудника МБУ СО Ужурского района «КЦСОН»  только в случае его письменного разрешения.

Сведения о сотруднике, находящемся  в трудовых отношениях с МБУ СО Ужурского района «КЦСОН»  или уже уволенном, могут быть предоставлены другой организации только на законном основании с письменного запроса на бланке организации с приложением копии заверенного заявления сотрудника  (бывшего  сотрудника).

Персональные данные сотрудника МБУ СО Ужурского района «КЦСОН» могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

Порядок проведения внутренних проверок

В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям МБУ СО Ужурского района «КЦСОН» организует проведение периодических проверок по плану, утверждаемому  внутренним приказом директора  МБУ СО Ужурского района «КЦСОН»

Проверки осуществляются ответственным за организацию обработки персональных данных и администраторами информационной безопасности.

О результатах проведенных проверок и мерах, необходимых для устранения нарушений, ответственный за организацию обработки персональных данных, ответственного за  безопасность информации в информационных системах МБУ СО Ужурского района «КЦСОН»,  докладывают директору учреждения.

VII. Ответственность и полномочия персонала

Ответственность персонала

За нарушение требований настоящей Политики должностные лица МБУ СО Ужурского района «КЦСОН»  несут ответственность в соответствии с действующим законодательством.

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

Руководитель, разрешающий доступ сотрудника  к персональным данным, несет персональную ответственность за данное разрешение.

Каждый  сотрудник МБУ СО Ужурского района «КЦСОН» получающий для работы персональные данные иных субъектов, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Лица, виновные в нарушении норм, регламентирующих получение, обработку и защиту персональных данных, в том числе и  обрабатываемых в автоматизированной информационной системе  МБУ СО Ужурского района «КЦСОН» несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с  действующим законодательством:

За неисполнение или ненадлежащее исполнение сотрудником возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными как информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности,  работодатель вправе применять дисциплинарные взыскания  в порядке, установленном ст. 193 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ.

Должностные лица, в обязанность которых входит обработка персональных данных сотрудника МБУ СО Ужурского района «КЦСОН» обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено  федеральным законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных федеральным  законом, либо предоставление неполной или заведомо ложной информации  является законным  основанием для привлечения должностного лица к административной ответственности.

В соответствии с Гражданским Кодексом  РФ лица, незаконными методами получившие информацию, в отношении которой установлено требование об обеспечении ее конфиденциальности, обязаны возместить причиненные убытки.

За нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения, предусмотрена уголовная ответственность в виде штрафа, либо лишения права занимать определенные должности или заниматься определенной деятельностью, либо ареста.

Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

 Полномочия персонала

Сотрудники МБУ СО Ужурского района «КЦСОН» имеют право выходить к руководству МБУ СО Ужурского района «КЦСОН» с предложениями об усовершенствовании технологии обработки персональных данных.

Изменения в настоящую Политику вносятся приказом МБУ СО Ужурского района «КЦСОН» после обязательного согласования вносимых изменений с сотрудником ответственного за  организацию обеспечения безопасности информации в информационных системах МБУ СО Ужурского района «КЦСОН» отвечающим за соответствие вносимых изменений требованиям законодательства и нормативно-правовых актов Регуляторов.

Скачать (.doc)                                                                                                  Правила обработки персональных данных