ПОЛОЖЕНИЕ
об обработке персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение по обработке персональных данных (далее - Положение) Муниципального бюджетного учреждения «Комплексный центр социального обслуживания населения по Металлургическому району города Челябинска» (далее – МБУ КЦСОН) разработано в соответствии с Конституцией Российской Федерации от 25.12.1993, Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ, Гражданским кодексом Российской Федерации от 30.11.1994 №51-ФЗ, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, а также другими нормативно-правовыми актами, действующими на территории Российской Федерации.
1.2. Цель разработки Положения - определение порядка обработки персональных данных граждан на основании полномочий МБУ КЦСОН, обеспечение защиты прав и свобод человека и гражданина, в т.ч. сотрудников и нуждающихся в социальном обслуживании Металлургического района города Челябинска, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. К любой информации, содержащей персональные данные субъекта, применяется режим конфиденциальности, за исключением:
1.3.1. обезличенных персональных данных;
1.3.2. общедоступных персональных данных.
1.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, или продлевается на основании заключения экспертной комиссии МБУ КЦСОН, если иное не определено законом Российской Федерации.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ:
2.1. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.2. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.3. Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.4. Информация - сведения (сообщения, данные) независимо от формы их представления.
2.5. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.6. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Обработка персональных данных без использования средств автоматизации - обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2.8. Оператор – муниципальное бюджетное учреждение «Комплексный центр социального обслуживания населения по Металлургическому району города Челябинска».
2.9. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.10. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.11. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Состав персональных данных
3.1. Состав персональных данных, обрабатываемых в ИСПДн МБУ КЦСОН, определяется «Перечнем сведений, содержащих персональные данные».
3.2. Документы со сведениями, содержащими персональные данные, обрабатываются в отделениях МБУ КЦСОН.
3.2.1. аппарат учреждения;
3.2.2. отделение социального обслуживания на дому граждан пожилого возраста и инвалидов;
3.2.3. отделение срочного социального обслуживания;
3.2.4. отделение дневного пребывания граждан пожилого возраста и инвалидов.
3.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений сотрудника МБУ КЦСОН при его приёме, переводе и увольнении:
3.3.1. Информация, представляемая сотрудником при поступлении на работу в МБУ КЦСОН, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
3.3.1.1. паспорт или иной документ, удостоверяющий личность;
3.3.1.2. трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или сотрудник поступает на работу на условиях совместительства, либо трудовая книжка у сотрудника отсутствует в связи с ее утратой или по другим причинам;
3.3.1.3. страховое свидетельство государственного пенсионного страхования;
3.3.1.4. документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
3.3.1.5. документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
3.3.1.6. свидетельство о присвоении ИНН (при его наличии у сотрудника).
3.3.2. При оформлении сотрудника в МБУ КЦСОН, специалистом по кадрам заполняется унифицированная форма Т-2 «Личная карточка сотрудника», в которой отражаются следующие анкетные и биографические данные сотрудника:
3.3.2.1. общие сведения (Ф.И.О. дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
3.3.2.2. сведения о воинском учете;
3.3.2.3. сведения о военно-учетной специальности;
3.3.2.4. данные о приеме на работу.
3.3.3. В дальнейшем в личную карточку вносятся:
3.3.3.1. сведения о переводах на другую работу;
3.3.3.2. сведения об аттестации;
3.3.3.3. сведения о повышении квалификации;
3.3.3.4. сведения о профессиональной переподготовке;
3.3.3.5. сведения о наградах (поощрениях), почетных званиях;
3.3.3.6. сведения об отпусках;
3.3.3.7. сведения о социальных гарантиях;
3.3.3.8. сведения о месте жительства и контактных телефонах.
3.3.4. Вся информация копируется в ИСПДн.
3.3.5. У специалиста по кадрам в МБУ КЦСОН создаются и хранятся следующие группы документов, содержащие персональные данные сотрудников в единичном или сводном виде:
3.3.5.1. документы, содержащие персональные данные сотрудников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; подлинники и копии приказов по личному составу; личные дела и трудовые книжки сотрудников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации сотрудников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству МБУ КЦСОН; копии отчетов, направляемых в государственные органы статистики, вышестоящие организации и другие учреждения);
3.3.5.2. документация по МБУ КЦСОН, работе отделений (положения, должностные инструкции сотрудников, приказы директора МБУ КЦСОН);
3.4. Информация, представляемая нуждающимися гражданами, либо их представителями должна иметь документальную форму.
4. Порядок предоставления доступа к персональным данным
4.1. Допуск к персональным данным субъекта могут иметь только те сотрудники МБУ КЦСОН, которым персональные данные необходимы в связи с исполнением ими своих трудовых обязанностей. Перечень таких сотрудников отражен в «Списке лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей».
4.2. Процедура оформления допуска к персональным данным представляет собой следующую строгую последовательность действий:
4.2.1. ознакомление сотрудника под роспись с настоящим Положением, «Перечнем сведений, содержащих персональные данные» и другими локальными нормативно-правовыми актами МБУ КЦСОН, касающимися обработки персональных данных;
4.2.2. истребование с сотрудника «Обязательства о неразглашении конфиденциальной информации»;
4.2.3. внесение сотрудника в «Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей» и в «Журнал учёта лиц, допущенных к работе с персональными данными в информационных системах персональных данных».
4.3. Каждый сотрудник должен иметь доступ к минимально необходимому набору персональных данных субъектов, необходимых ему для выполнения служебных (трудовых) обязанностей.
4.4. Сотрудникам, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным субъектов запрещается.
4.5. Любой субъект имеет право, за исключением случаев, предусмотренных законодательством:
4.5.1. на получение сведений о МБУ КЦСОН, в соответствии со ст.14 Федерального закона Российской Федерации от 27.06.2006 №152;
4.5.2. на ознакомление со своими персональными данными;
4.5.3. на уточнение, блокирование или уничтожение своих персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленных МБУ КЦСОН целей обработки.
4.6. В случае если МБУ КЦСОН на основании договора поручает обработку персональных данных другому лицу, существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
5. Порядок получения персональных данных
5.1. МБУ КЦСОН имеет право получать и обрабатывать персональные данные сотрудников МБУ КЦСОН и нуждающихся в социальном обслуживании граждан при условии, что обработка данных категорий персональных данных необходима для оказания социальных услуг и осуществляется сотрудником МБУ КЦСОН и обязанным не разглашать конфиденциальную информации.
5.2. МБУ КЦСОН не имеет права получать и обрабатывать персональные данные, сотрудников МБУ КЦСОН и нуждающихся в социальном обслуживании граждан, об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждения, состоянии здоровья, интимной жизни, кроме случаев, когда субъект персональных данных дал согласие в письменной форме с указанием данных категорий персональных данных.
5.3. МБУ КЦСОН вправе обрабатывать (в том числе передавать) персональные данные субъектов только с их письменного согласия, кроме установленных законодательством РФ исключений, в том числе:
5.3.1. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
5.3.2. обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным Законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5.3.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
5.3.4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5.3.5. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5.3.6. обработка персональных данных осуществляется в статистических или иных исследовательских целях;
5.3.7. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.4. Все персональные данные субъектов следует получать у них самих или у их законных представителей. Если персональные данные возможно получить только у третьей стороны, то субъект или его законный представитель, должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
5.5. Должностное лицо МБУ КЦСОН должно сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
5.6. Должностное лицо МБУ КЦСОН должно проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.
6. Порядок использования персональных данных
6.1. Обработка персональных данных может осуществляться исключительно в целях социального обслуживания населения, и в случаях, установленных законодательством Российской Федерации.
6.2. При определении объема и содержания, обрабатываемых персональных данных МБУ КЦСОН должно руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и иными федеральными законами Российской Федерации.
6.3. При принятии решений, затрагивающих интересы субъекта, МБУ КЦСОН не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
6.4. Персональные данные субъектов обрабатываются и хранятся в помещениях МБУ КЦСОН и на учтённых машинных носителях в соответствии с «Инструкцией по учёту машинных носителей».
6.5. Персональные данные субъектов могут быть получены, обработаны и переданы на хранение, как на бумажных носителях, так и в электронном виде в локальной компьютерной сети, в компьютерных программах и электронных базах данных.
6.6. При использовании типовых форм документов, обрабатываемых без использования средств автоматизации, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
6.6.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы), должны содержать:
6.6.1.1. сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;
6.6.1.2. имя (наименование) и адрес МБУ КЦСОН;
6.6.1.3. фамилию, имя, отчество и адрес субъекта персональных данных;
6.6.1.4. источник получения персональных данных;
6.6.1.5. сроки обработки персональных данных;
6.6.1.6. перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
6.6.1.7. общее описание используемых МБУ КЦСОН способов обработки персональных данных.
6.6.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, в тех случаях, когда существует необходимость получения письменного согласия на обработку персональных данных;
6.6.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
6.6.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
7. Порядок передачи персональных данных
7.1. Передавать персональные данные субъектов допускается только тем сотрудникам, которые имеют допуск к обработке персональных данных.
7.2. Сотрудник, осуществляющий передачу персональных данных, должен уведомить получателей о факте получения ими персональных данных и о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
8. Порядок хранения персональных данных
8.1. Хранение бумажных документов, электронных носителей (дисков и т.п.), содержащих персональные данные, должно осуществляться в специальных папках, закрытых шкафах или сейфах, в порядке, исключающем доступ к ним третьих лиц.
8.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях без использования средств автоматизации.
8.3. Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, удовлетворяющие устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.
9. организация защиты персональных данных
9.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается МБУ КЦСОН за счет своих средств, если иное не предусмотрено законодательством РФ.
9.2. В МБУ КЦСОН защите подлежат все сведения, содержащие персональные данные субъектов, в том числе:
9.2.1. зафиксированные в бумажных документах;
9.2.2. зафиксированные в электронных документах на технических средствах, включая внешние носители;
9.2.3. речевая (акустическая) информация, содержащая персональные данные;
9.2.4. текстовая и графическая видовая информация, содержащая персональные данные;
9.2.5. информация, представленная в виде информативных электрических сигналов, физических полей, содержащая персональные данные.
9.3. Защита персональных данных должна вестись по трём взаимодополняющим направлениям:
9.3.1. Проведение организационных мероприятий:
9.3.1.1. разработка и внедрение внутренних организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных субъектов, в том числе порядок доступа в помещения и к персональным данным;
9.3.1.2. ознакомление сотрудников с законодательством Российской Федерации и внутренними нормативными документами, получение обязательств, касающихся обработки персональных данных;
9.3.1.3. проведение обучения сотрудников вопросам защиты персональных данных.
9.3.2. Программно-аппаратная защита:
9.3.2.1. разработка модели угроз безопасности персональным данным;
9.3.2.2. внедрение программно-аппаратных средств защиты информации, прошедших в соответствии с Федеральным законом от 27.12.2002 №184 «О техническом регулировании» оценку соответствия;
9.3.2.3. организация учёта носителей персональных данных.
9.3.3. Инженерно-техническая защита:
9.3.3.1. установка сейфов или запирающихся шкафов для хранения носителей персональных данных;
9.3.3.2. установка усиленных дверей, сигнализации, режима охраны здания и помещений, в которых обрабатываются персональные данные.
9.4. Определение конкретных мер, общую организацию, планирование и контроль выполнения мероприятий по защите персональных данных осуществляет ответственный за обеспечение безопасности персональных данных в соответствии с законодательством в области защиты персональных данных и локальными нормативно-правовыми актами МБУ КЦСОН.
9.5. Организацию и контроль защиты персональных данных в отделениях МБУ КЦСОН осуществляют их непосредственные руководители.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
10.1. Сотрудники МБУ КЦСОН, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
10.2. Директор МБУ КЦСОН за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.
10.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим сотрудникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативно-правовыми актами (приказами, распоряжениями) МБУ КЦСОН, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения.
10.4. Сотрудник МБУ КЦСОН, имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба МБУ КЦСОН (в соответствии с п.7 ст. 243 Трудового кодекса РФ).
11. Заключительные положения
11.1. Настоящее Положение утверждается и вводится в действие приказом директора МБУ КЦСОН и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным.
11.2. Все сотрудники МБУ КЦСОН, участвующие в обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись.
Дата изменения: 02 мая, 2017 [10:20]