Положение об обработке и защите персональных данных
- Общие положения
Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта персональных данных на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.
Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников (сотрудников), клиентов в Государственном бюджетном учреждении «Центр социального обслуживания граждан пожилого возраста и инвалидов Ленинского района города Нижнего Новгорода» (далее - Учреждение), в соответствии с законодательством Российской Федерации и гарантии конфиденциальности предоставленных сведений.
Данное Положение разработано в соответствии с Конституцией РФ, ст. 86 - 90 Трудового кодекса Российской Федерации, Федеральным законом РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. № 149-ФЗ, Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г. № 188, Постановлением Правительства Российской Федерации от 21 марта 2012 г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
В рамках настоящего Положения Оператором персональных данных, обрабатываемых в соответствии с трудовым законодательством, является Государственное бюджетное учреждение «Центр социального обслуживания граждан пожилого возраста и инвалидов Ленинского района города Нижнего Новгорода» 1.5. Оператором персональных данных, обрабатываемых в целях предоставления мер социальной поддержки, предоставления государственных пособий и компенсаций, предоставления государственной социальной адресной помощи, социальных услуг оказываемых ГБУ «КЦСОН», а также персональных данных лиц, обратившихся в ГБУ «КЦСОН» с обращением, жалобой или заявлением, является Министерство социальной политики Нижегородской области. ГБУ «КЦСОН» действует по поручению (в соответствии с п.п. 3.1 и 3.2 Положения об обработке персональных данных в министерстве социальной политики Нижегородской области, утверждённого приказом министерства социальной политики Нижегородской области от 30.01.2015 г. №34).
Примечание: В целях соблюдения единообразия текста, в дальнейшем везде используется формулировка Оператор, которая включает в себя как действия в отношении работников, так и действия по отношению к клиентам, где ГБУ «ЦСОГПВИИ» обрабатывает персональные данные по поручению от лица Министерства социальной политики.
Цель и задачи в области зашиты персональных данных
Целью и задачами в области зашиты персональных данных в Учреждении, в соответствии с законодательством Российской Федерации, является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также защита персональных данных, содержащихся в документах, полученных в обращениях субъектов персональных данных и других документах.
- Понятие и состав персональных данных
Для целей настоящего Положения используются следующие понятия:
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Клиент - лицо, получающее помощь в Учреждении и являющееся субъектом персональных данных.
Оператор персональных данных (далее - Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник (сотрудник) - физическое лицо, состоящее в трудовых отношениях или иных договорных отношениях с оператором и являющееся субъектом персональных данных.
Распространение персональных данных - действия, направленные на раскрытие персональных данных определенному кругу лиц.
Субъект персональных данных - физическое лицо, которому принадлежат те или иные персональные данные.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
При обработке персональных данных Учреждение устанавливает следующие категории персональных данных, в том числе:
а) персональные данные работников (сотрудников):
- фамилия; имя; отчество;
- число, месяц, год рождения;
- паспортные данные (номер, серия, кем и когда выдан);
- адрес постоянной регистрации;
- адрес фактического проживания;
- пол;
- гражданство;
- сведения по инвалидности;
- данные свидетельства о постановке на налоговый учет;
- данные свидетельства государственного пенсионного страхования; номер полиса обязательного медицинского страхования;
- социальный пакет;
- данные о начислении заработной платы;
- данные о трудовом стаже;
- данные о вычетах и взносах;
- количество и возраст детей;
- сведения о льготах;
- сведения об образовании, повышении квалификации, аттестации;
- сведения о поощрениях;
- сведения о постановке на воинский учет;
- сведения об оценке качества проведенной услуги;
- контактные телефоны.
б) персональные данные клиентов:
- фамилия, имя, отчество;
- число, месяц, год рождения;
- паспортные данные (номер, серия, кем и когда выдан);
- гражданство;
- адрес места регистрации;
- адрес места проживания:
- пол;
- данные о трудовом стаже;
- сведения по инвалидности;
- данные свидетельства государственного пенсионного страхования;
- данные полиса обязательного медицинского страхования;
- код проведенной услуги;
- социальное положение;
- оценка качества проведения услуги;
- контактные номера телефонов (домашний, мобильный).
в) персональные данные родителей (опекунов):
- фамилия, имя, отчество;
- социальное положение;
- место работы;
- должность;
- место проживания в настоящее время;
- номер расчетного счета;
- контактные телефоны.
- Обработка персональных данных
В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных Учреждение, как Оператор, ОБЯЗАНО соблюдаться следующие требования:
- осуществлять обработку персональных данных с согласия субъекта персональных данных;
- осуществлять обработку персональных данных на законной и справедливой основе и исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ;
- не использовать персональные данные в целях причинения имущественного и (или) морального вреда гражданам, затрудняющего реализацию прав и свобод граждан Российской Федерации;
- не принимать решений, затрагивающих интересы субъекта персональных данных, основываясь на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;
- обеспечивать, при обработке субъекта персональных данных, точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных субъекта персональных данных;
- ознакомить субъектов персональных данных, не являющихся работниками (сотрудниками), или их законных представителей с документами Учреждения, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
Содержание и объем обрабатываемых персональных данных субъекта должны соответствовать заявленным целям обработки персональных данных в Учреждении.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки в Учреждении.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту информации, касающейся персональных данных; частной жизни, личной и семейной тайны.
- Получение персональных данных
Все персональные данные, обрабатываемые в Учреждении, следует получать непосредственно от субъекта персональных данных.
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Иные данные должны быть получены с согласия самого клиента или его законных представителей.
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
В случае недееспособности субъекта персональных данных, все персональные субъекта следует получать от его законных представителей (попечителей, опекунов и т.д.). Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.
Полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
Согласие, в письменной форме, субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование, адрес Учреждения или фамилию, имя, отчество, адрес получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование, адрес учреждения или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу или учреждению;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Письменное согласие на обработку персональных данных НЕ ТРЕБУЕТСЯ, в случаях:
- если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Согласие на обработку персональных данных может быть отозвано субъектом и (или) его законным представителем.
В случаях, когда Учреждение, как Оператор, может получить необходимые персональные данные субъекта только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Учреждение, как Оператор, обязано сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
Согласие оформляется в письменной форме в 2 (двух) экземплярах: один - предоставляется субъекту, второй - хранится в Учреждении.
Обязанность предоставить доказательства получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований на обработку его персональных данных, возлагается на Учреждение как Оператора.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Учреждение, как Оператор, вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
В трудовые, в гражданско-правовые договоры с работниками (сотрудниками) Учреждения вносятся условия об обработке персональных данных работников (сотрудников).
В договоры по оказанию услуг вносятся условия по соблюдению конфиденциальности представляемой информации в соответствии с действующим законодательством Российской Федерации.
ЗАПРЕЩАЕТСЯ получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
- Хранение персональных данных
Хранение персональных данных субъектов персональных данных в Учреждении осуществляется как на бумажных, так и на электронных носителях с ограниченным доступом.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Работники (сотрудники) Учреждения, хранящие персональные данные на электронных носителях, в электронных базах данных, обеспечивают их защиту от несанкционированного доступа и копирования.
Работники (сотрудники) Учреждения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства Российской Федерации 15 сентября 2008 г. № 687.
- Передача персональных данных
При передаче персональных данных субъектов персональных данных Учреждение, как Оператор, ОБЯЗАНО соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных Трудовым кодексом и федеральным законодательством Российской Федерации.
- предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
- передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;
- регистрировать все сведения о передаче персональных данных субъекта в «Журнале учета обращений лиц о передаче персональных данных субъектов» в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившего запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.
Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
- Внутренний доступ (доступ внутри Учреждения) к персональным данным субъекта
Право доступа к персональным данным субъекта персональных данных имеют:
- руководитель Учреждения;
- определенные перечнем работники (сотрудники) Учреждения, доступ которых к персональным данным необходим в целях выполнения своих должностных обязанностей;
- сам субъект, носитель данных;
- представители субъекта персональных данных.
Все работники (сотрудники) Учреждения, имеющие доступ к персональным данным субъектов персональных данных, обязаны подписать соглашение о неразглашении персональных данных.
К числу массовых потребителей персональных данных, вне Учреждения, относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, республиканских и муниципальных органов управления.
Контрольные и надзорные органы имеют доступ к информации в сфере своей компетенции.
Учреждения, в которые субъект персональных данных может осуществлять перечисления денежных средств (страховые организации, негосударственные пенсионные фонды, благотворительные и кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.
Процедура оформления доступа к персональным данным работников (сотрудников), клиентов, работников, включает в себя ознакомление лиц, осуществляющих обработку персональных данных или имеющих к ним доступ, с настоящим Положением, в листе ознакомлений, под роспись (п.8 ст. 86 ТК РФ).
Обязанность ознакомления работников (сотрудников) и клиентов Учреждения в Учреждении с настоящим Положением лежит на руководителе Учреждения.
Примечание:
При наличии иных нормативных актов (приказов, распоряжений), регулирующих обработку персональных данных работников (сотрудников), клиентов также производится ознакомление лиц, осуществляющих обработку персональных данных или имеющих к ним доступ, под роспись.
Управление и разграничение доступа к электронным базам данных Учреждения, содержащим персональные данные работников (сотрудников) и клиентов Учреждения, в Учреждении обеспечивается техническими средствами защиты информации, сертифицированными ФСТЭК России как средства защиты информации, использующиеся при построении системы защиты информационных систем персональных данных соответствующего класса.
Пользователи информационных систем персональных данных должны быть ознакомлены с правилами работы с персональными данными и проинструктированы о необходимых мерах, обеспечивающих безопасность персональных данных при их обработке в информационных системах персональных данных.
- Уничтожение персональных данных
Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки.
- Уничтожение персональных данных осуществляется:
- по достижении цели обработки персональных данных;
- в случае утраты необходимости в достижении целей обработки персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;
- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов в случае выявления фактов совершения Бюджетным учреждением неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Уничтожение персональных данных должно быть осуществлено в течение 3 (трех) дней с указанных в п.9.2 моментов. Факт уничтожения персональных данных субъекту персональных данных, проводится актом уничтожения, с подписью ответственных(ого) лиц(а) за уничтожение.
После уничтожения, Учреждение направляет уведомление об уничтожении персональных данных субъекту персональных данных, а в случае если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных направляет уведомление об уничтожении персональных данных в уполномоченный орган.
- Права и обязанности субъектов персональных данных
В целях обеспечения защиты персональных данных субъект персональных данных ИМЕЕТ ПРАВО:
- получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения Учреждения как Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании Федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- информацию о осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
- заявлять в письменной форме о своем несогласии, представив соответствующее обоснование, при отказе Учреждения как Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта;
- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- требовать от Учреждения как Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
- Обязанности Учреждения, как Оператора, при работе с персональными данными субъектов персональных данных
В целях обеспечения защиты персональных данных Учреждение, как Оператор, обязано принимать меры, необходимые и достаточные для обеспечения защиты персональных данных, предусмотренных Федеральным законодательством.
Учреждение, как Оператор, самостоятельно определяет перечень мер, необходимых и достаточных для обеспечения защиты персональных данных, предусмотренных Федеральным законодательством.
Для защиты персональных данных субъектов персональных данных Учреждение, как Оператор, ОБЯЗАНО:
- назначить ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа служащих данного органа;
- ознакомить работников (сотрудников), клиентов с настоящим Положением, его правами в области защиты персональных данных под расписку;
- применить правовые, организационные и технические меры по обеспечению безопасности персональных данных;
- за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
- по запросу ознакомить субъекта персональных данных или его законных представителей с настоящим Положением, а также с другими документами Учреждения, устанавливающими порядок обработки персональных данных, правами субъекта персональных данных в области защиты персональных данных, с соответствующим заполнением граф в«Журнале учета обращений граждан (субъектов персональных данных) о выполнении их законных прав в области защиты персональных данных».
- осуществлять передачу персональных данных субъекта персональных данных только в соответствии с настоящим Положением и законодательством Российской Федерации;
- предоставлять персональные данные субъекта персональных данных только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей
- в соответствии с настоящим положением и законодательством Российской Федерации;
- обеспечить субъекту персональных данных свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
- по требованию субъекта персональных данных или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
Актом руководителя Учреждения необходимо УТВЕРДИТЬ:
- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными' правовыми актами и локальными актами Учреждения;
- перечень информационных систем персональных данных;
- перечни персональных данных, обрабатываемых в Учреждении в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
- перечень должностей работников Учреждения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- должностную инструкцию ответственного за организацию обработки персональных данных в Учреждении;
- типовое обязательство сотрудников Учреждения, непосредственно осуществляющих обработку персональных данных, в случае расторжения с ними трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
- типовая форма согласия на обработку персональных данных работников Учреждения, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
- порядок доступа работников Учреждения в помещения, в которых ведется обработка персональных данных.
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуется проведение периодических проверок условий обработки персональных данных в Учреждении.
План внутренних проверок режима защиты персональных данных, содержит перечень внутренних проверок, проводимых в Учреждении.
План составляется для мероприятий, в соответствии с Планом мероприятий по обеспечению защиты персональных данных, и определяет периодичность проведения проверок.
План внутренних проверок содержит следующую информацию:
- Название проверяемого мероприятия.
- Периодичность проведения проверки.
- Исполнитель мероприятия.
- План внутренних проверок распространяется на все информационные системы персональных данных Учреждения.
Проверки осуществляются ответственным за организацию обработки персональных данных в Учреждении либо комиссией, утвержденной руководителем Учреждения. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю Учреждения докладывает ответственный за организацию обработки персональных данных в Учреждении либо председатель комиссии.
При получении персональных данных не от субъекта персональных данных, Учреждение, как Оператор, до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных;
- источник получения персональных данных.
Срок хранения документов, указанных в п.п. 11.3; 11.4; 11.6; 11.8 зависит от того, какие юридические последствия могут возникнуть для Учреждения, как Оператора осуществляющей обработку персональных данных, если Учреждение, как Оператор, не будет обладать информацией, содержащейся в вышеуказанных документах.
Учреждение, как Оператор, освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 11.8 настоящего Положения, в случаях, если:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
- персональные данные получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.
Учреждение обязуется обеспечить неограниченный доступ к настоящему Положению, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
Учреждение, как Оператор, осуществляющая сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязуется опубликовать на официальном сайте Учреждения документы, определяющие политику в отношении обработки персональных данных, в течение 10 (десяти) дней после их утверждения.
Учреждение, как Оператор при обработке персональных данных ОБЯЗАНО принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
- устанавливать правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
- обеспечивать регистрацию и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных Учреждения;
- учитывать материальные носители персональных данных Учреждения.
Учреждению как Оператору при обработке персональных данных субъекта ЗАПРЕЩАЕТСЯ принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных Федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Учреждение, как Оператор, ОБЯЗАНО разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов, а также рассмотреть возражение, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Учреждение, как Оператор, ОБЯЗАНО разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом.
- Общедоступные источники персональных данных
В целях информационного обеспечения в Учреждении могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги).
В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его:
- фамилия, имя, отчество;
- год и место рождения;
- адрес;
- абонентский номер;
- сведения о профессии;
- иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
- Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Учреждение, как Оператор, обязано назначить лицо, ответственное за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных данных в Учреждении получает указания непосредственно от руководителя Учреждения и подотчетно ему.
Лицо, ответственное за организацию обработки персональных данных в Учреждении, ОБЯЗАНО:
- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о
- персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников (сотрудников) Учреждения положения: законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных (приказы, инструкции), требования к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными Федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном Федеральными законами.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных изложена в:
Кодексе об административных правонарушениях Российской Федерации (КоАП РФ) - статьи 13.11,13.14, 5.39,19.7;
Уголовном Кодексе Российской Федерации (УК РФ) - статьи 137, 140, 272;
Трудовом Кодексе Российской Федерации (ТК РФ) - статьи 81, 90, 237.
- Подача уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Управление Роскомнадзора по Нижегородской области).
До начала обработки персональных данных Учреждение, как Оператор, обязано уведомить уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Нижегородской области) о своем намерении осуществлять обработку персональных данных.
Учреждение, как Оператор, вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных Оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- сделанных субъектом персональных данных общедоступными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Учреждение, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с Федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с Федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Уведомление, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается руководителем Учреждения (или уполномоченным лицом).
Уведомление должно содержать следующие сведения:
- наименование Учреждения;
- адрес Учреждения как Оператора;
- цель обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
- описание мер, предусмотренных ст. 18.1 и ст. 19 ФЗ-152 «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
В случае изменения сведений, указанных в п. 14.4 настоящей статьи, а также в случае прекращения обработки персональных данных Учреждение, как Оператор, обязано уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение 10 (десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
- Заключительные положения
Настоящее Положение не заменяет собой действующего законодательства Российской Федерации, регулирующего общественные отношения в сфере обработки персональных данных и обеспечения их безопасности и конфиденциальности.
При изменении Федеральных законов и иных нормативных правовых актов отдельные требования настоящего Положения вступят в противоречие с указанными законами и нормативными правовым актами, соответствующие требования Положения не будут подлежать применению.