ПОЛИТИКА
в отношении обработки персональных данных
бюджетного учреждении Ханты-Мансийского
автономного округа — Югры «Когалымский комплексный центр
социального обслуживания населения»
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее — Политика) в бюджетном учреждении Ханты-Мансийского автономного округа — Югры «Когалымский комплексный центр социального обслуживания населения» (далее — учреждение) разработана в соответствии с Конституцией Российской Федерации, трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологий и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральным закон «О персональных данных»), постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и иными нормативными правовыми актами, регулирующими отношения, связанные с обработкой персональных данных.
1.2. Политика вступает в силу с момента её подписания директором учреждения, и распространяется на персональные данные, полученные как до, так и после ее утверждения.
1.3. Действие настоящей Политики распространяется на все процессы обработки персональных данных, как с использованием средств автоматизации, так и без использования таких средств, на всех работников учреждения, участвующих в таких процессах, а также на информационные системы учреждения, используемые в процессах обработки персональных данных.
1.4. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства учреждения, а также в случаях изменения законодательства Российской Федерации в области обеспечения безопасности персональных данных.
1.5. Политика подлежит опубликованию на официальном сайте учреждения в течение 10 дней после её утверждения.
2. Основные понятия, используемые в настоящей Политике
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.4. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые учреждением в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц иным образом, затрагивающих права и свободы субъекта персональных данных или других лиц.
2.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.10. Информационная система персональных данных (далее — ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.11. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Цели обработки персональных данных
3.1. Обработка персональных данных осуществляется учреждением в следующих целях:
выполнение обязательств, предусмотренных трудовыми договорами, работниками учреждения;
выполнение требований Трудового кодекса Российской Федерации, других нормативных актов Российской Федерации (в том числе предоставление персональных данных в Пенсионный фонд РФ; Фонд социального страхования РФ; Федеральный фонд обязательного медицинского страхования);
принятие решений и выполнение обязательств по обращениям граждан Российской Федерации в соответствии с законодательством Российской Федерации;
оказание социальных услуг гражданам;
содействие в предоставлении медицинской, психологической, педагогической, юридической, социальной помощи, не относящейся к социальным услугам (социальное сопровождение);
обследование условий жизнедеятельности гражданина, выявление и устранение причин, послуживших основанием ухудшения условий его жизнедеятельности.
4. Категории субъектов, персональные данные которых обрабатываются
4.1. В соответствии с целями обработки персональных данных, указанными в п. 3. настоящей Политики, учреждением осуществляется обработка следующих категорий субъектов персональных данных:
граждане, обратившиеся за социальной услугой, социальной помощью;
лица, не являющиеся заявителями; работники учреждения; родственники работников учреждения;
физические лица, обратившиеся в учреждение с жалобой (обращением, заявлением).
4.2. Перечень обрабатываемых персональных данных утвержден приказом учреждения.
5. Принципы обработки персональных данных
5.1. Обработка персональных данных в учреждении осуществляется на законной основе.
5.2. Обработка персональных данных в учреждении ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
5.5. Содержание и объем персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточным по отношению к заявленным целям их обработки.
5.6. При обработке персональных данных учреждением
обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждением обеспечивается принятие
необходимых мер по удалению или уточнению неполных или неточных данных.
5.7. При определении состава обрабатываемых персональных данных субъектов персональных данных учреждение руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.
5.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6. Условия обработки персональных данных
6.1. Обработка персональных данных осуществляется в соответствие с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями учреждения, определенными действующим законодательством Российской Федерации и договорными отношениями с учреждением.
6.2. Получение и обработка персональных данных в случаях, предусмотренных законом № 152-ФЗ «О персональных данных» осуществляется учреждением с согласия в письменной форме субъекта персональных данных на обработку своих персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
6.3. Согласие на обработку персональных данных может быть дано
субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом № 152-ФЗ. В случае получения согласия на
обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются учреждением.
6.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, по своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и должно включать:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
наименование или фамилию, имя, отчество и адрес учреждения, получающего согласие субъекта персональных данных; цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
наименование либо фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению учреждения, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых учреждением способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не предусмотрено федеральным законодательством;
подпись субъекта персональных данных
6.5. Учреждение вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в Федеральном законе № 152-ФЗ «О персональных данных».
6.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
6.7. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на учреждение.
6.8. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
6.9. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
6.10. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, учреждением не осуществляется.
6.11. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), а также сведения о состоянии здоровья, могут обрабатываться при наличии согласия в письменной форме субъекта персональных данных или иных оснований, предусмотренных федеральным законодательством.
6.12. Персональные данные субъекта персональных данных могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления учреждению подтверждения наличия оснований, указанных в Федеральном законе № 152-ФЗ «О персональных данных» или иных оснований, предусмотренных законодательством.
6.13. Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники учреждения в соответствии с их должностями обязанностями.
7. Особенности обработки персональных данных и их передача третьим лицам
7.1. Обработка персональных данных учреждением осуществляется как с использованием средств автоматизации, так и без использования таких средств. При обработке персональных данных учреждение осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
7.2. Работники учреждения, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
7.3. Передача персональных данных субъектов персональных данных третьей стороне с согласия субъекта персональных данных осуществляется учреждением в соответствии с требованиями действующего законодательства.
7.4. Поручение обработки персональных данных:
7.4.1. Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (соглашения).
7.4.2. Лицо, осуществляющее обработку персональных данных по договору с учреждением, соблюдает принципы и правила обработки персональных данных, предусмотренные законодательством. В договоре с учреждением определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке.
7.4.3. В случае если учреждение поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет учреждение. Лицо, осуществляющее обработку персональных данных по поручению учреждения, несет ответственность перед учреждением.
7.5. Учреждением не осуществляется трансграничная передача персональных данных и не принимаются решения, основанные исключительно на автоматизированной обработке персональных данных субъекта персональных данных.
8. Общедоступные источники персональных данных
8.1. В целях информационного обеспечения учреждение размещает персональные данные на общедоступных источниках. Сведения о субъекте персональных данных исключаются из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
8.2. В общедоступные источники персональных данных включены следующие сведения работников учреждения: фамилия, имя, отчество; должность; служебный номер телефона.
9. Права субъекта персональных данных
9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных учреждением;
правовые основания и цели обработки персональных данных;
цели и применяемые учреждением способы обработки персональных данных;
наименование и место нахождения учреждения, сведения о лицах (за исключением работников учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора (соглашения) с учреждением либо на основании федерального законодательства;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законодательством;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
информацию о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению учреждения, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные федеральным законодательством.
9.2. Субъект персональных данных имеет право требовать от учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Субъект персональных данных имеет право на получение запрашиваемой субъектом информации, за исключением случаев, предусмотренных федеральным законодательством, либо при которых доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.4. Сведения, указанные в п. 9.1. настоящей Политики, учреждением должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.5. Сведения, указанные в п. 9.1. настоящей Политики, учреждением предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.6. В случае, если сведения, указанные в п. 9.1. настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к учреждению или направить ему повторный запрос в целях получения сведений, указанных в п. 9.1. настоящей Политики, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.7. Субъект персональных данных вправе обратиться повторно к учреждению или направить ему запрос в целях получения сведений, указанных в п. 9.1. настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 9.6. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать основание направления повторного запроса.
9.8. Учреждение вправе отказать субъекту персональных данных в выполнении повторного запроса, несоответствующего условиям повторного запроса. Такой отказ должен быть мотивированным.
Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса лежит на учреждении.
9.9. Если субъект персональных данных считает, что учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия учреждения в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
9.10. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. Обеспечение безопасности персональных данных
Учреждение при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам относятся:
назначение лиц, ответственных за организацию обработки персональных данных;
издание локальных актов по вопросам обработки персональных данных и устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
определение угроз безопасности персональных данных и необходимого уровня их защищённости при обработке в ИСПДн;
осуществление внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона № 152-ФЗ «О персональных данных», и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов учреждения;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям федерального законодательства в области обеспечения безопасности информации;
ознакомление работников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе, документами, определяющими Политику учреждения в отношении обработки персональных данных, локальными актами по вопросам;
обработки персональных данных, требованиям к защите персональных данных;
ведение учета машинных носителей персональных данных; меры по обнаружению и исключению фактов несанкционированного доступа к персональным данным;
меры по восстановлению персональным данным, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в ИСПДн учреждения;
применение в соответствии с законодательством Российской Федерации средств криптографической защиты информации при передаче (подготовке к передаче) персональных данных по каналам связи, имеющим выход за пределы контролируемой зоны, защита от раскрытия, модификации или навязывания (ввода ложной информации);
исключение несанкционированного просмотра персональных данных на устройствах вывода (отображения, печати) информации, как за пределами контролируемой зоны, так и в пределах контролируемой зоны (исключение размещений в местах, доступных для несанкционированного просмотра);
осуществление оценки эффективности применяемых мер по обеспечению безопасности персональных данных.