Положение об обработке и защите персональных данных
- Подробности
- Создано: 20.05.2015 10:25
УТВЕРЖДЕНО
Приказом № МФЦ-53
от 18.05.2015г.
Положение
об обработке и защите персональных данныхМуниципального автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг на территории Златоустовского городского округа»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение об обработке персональных данных (далее — Положение) Муниципального автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг на территории Златоустовского городского округа» (далее – Учреждения) разработано в соответствии с Конституцией Российской Федерации от 25.12.1993, Гражданским кодексом Российской Федерации от 30.11.1994 №51-ФЗ, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, а также другими нормативными правовыми актами, действующими на территории Российской Федерации.
1.2. Цель разработки Положения — определение порядка обработки персональных данных граждан, обратившихся в Учреждение, и иных субъектов персональных данных, персональные данные которых подлежат обработке на основании полномочий Учреждения; обеспечение защиты прав и свобод человека и гражданина, в т.ч. граждан, обратившихся в Учреждение, при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. К любой информации, содержащей персональные данные субъекта, применяется режим конфиденциальности, за исключением:
1.3.1. обезличенных персональных данных;
1.3.2. общедоступных персональных данных.
1.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения или продлевается на основании заключения экспертной комиссии Учреждения, если иное не определено законом Российской Федерации.
2. Термины и определения
2.1. В настоящем документе используются следующие термины и их определения.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных– временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Документированная информация– зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Доступ к информации– возможность получения информации и ее использования.
Защищаемая информация– информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация– присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация- сведения (сообщения, данные) независимо от формы их представления.
Использование персональных данных– действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Конфиденциальность персональных данных– обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Носитель информации– физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных– действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных без использования средств автоматизации– обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Оператор (персональных данных)– государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Распространение персональных данных– действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных– физическое лицо, которое может быть однозначно идентифицировано по персональным данным.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Целостность информации– состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Состав персональных данных, обрабатываемых в информационной системе персональных данных Учреждения, определяется «Перечнем персональных данных».
3.2. Перечень персональных данных утверждается Директором Учреждения.
3.3. Директор Учреждения определяет перечень лиц из числа работников, уполномоченных на обработку персональных данных субъектов, обеспечивающих обработку персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», других нормативных правовых актов Российской Федерации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
3.4. Документы со сведениями, содержащими персональные данные, обрабатываются на рабочих местах работников, перечень которых определяется Директором Учреждения.
3.5. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника Учреждения при его приеме, переводе и увольнении.
3.5.1. Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
3.5.1.1. паспорт или иной документ, удостоверяющий личность;
3.5.1.2. трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
3.5.1.3. страховое свидетельство государственного пенсионного страхования;
3.5.1.4. документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;
3.5.1.5. документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
3.5.1.6. свидетельство о присвоении ИНН (при его наличии у работника).
3.5.2. При оформлении работника в Учреждение заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
3.5.2.1. общие сведения (идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, пол, Ф.И.О. дата рождения, место рождения, гражданство, знание иностранного языка, образование, профессия, стаж работы, состояние в браке, состав семьи, серия, номер и дата выдачи паспорта, наименование органа, выдавшего паспорт, адрес и дата регистрации по месту жительства (месту пребывания), номер телефона);
3.5.2.2. сведения о воинском учете;
3.5.2.3. данные о приеме на работу;
3.5.3. В дальнейшем в личную карточку вносятся:
3.5.3.1. сведения о переводах на другую работу;
3.5.3.2. сведения об аттестации;
3.5.3.3. сведения о повышении квалификации;
3.5.3.4. сведения о профессиональной переподготовке;
3.5.3.5. сведения о наградах (поощрениях), почетных званиях;
3.5.3.6. сведения об отпусках;
3.5.3.7. сведения о социальных льготах.
3.5.4. У Учреждения создаются и хранятся следующие группы документов, содержащие персональные данные работников в единичном или сводном виде:
3.5.4.1. документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Учреждения, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);
3.5.4.2. документация по Учреждению, работе отделов (положения, должностные инструкции работников, приказы);
3.5.4.3. документы по планированию, учету, анализу и отчетности в части работы с персоналом Учреждения.
3.6. Комплекс документов, сопровождающий процесс работы с гражданами.
3.6.1. Информация, представляемая гражданами либо их представителями в структурные подразделения Учреждения, должна иметь документальную форму. Граждане либо их представители предъявляют следующие документы:
3.6.1.1. паспорт;
3.6.1.2. страховое свидетельство государственного пенсионного страхования;
3.6.1.3. свидетельство о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
3.6.1.4. свидетельство о рождении;
3.6.1.5. свидетельство о заключении/расторжении брака
3.6.1.6. страховое свидетельство государственного пенсионного страхования;
3.6.1.7. свидетельство о присвоении ИНН
3.6.1.8. справки установленного образца;
3.6.1.9. иные документы, необходимые для осуществления полномочий Учреждения.
3.6.2. При первичном обращении физического лица в Учреждение, граждане либо их представители заполняют заявление, в котором отражаются следующие анкетные и биографические данные:
3.6.2.1. фамилия, имя, отчество;
3.6.2.2. пол;
3.6.2.3. дата рождения;
3.6.2.4. адрес и дата регистрации по месту жительства (месту пребывания);
3.6.2.5. серия, номер и дата выдачи паспорта, код подразделения и наименование органа, выдавшего паспорт;
3.6.2.6. контактный телефон.
3.6.3. Данные из документов вносятся работниками в электронном виде в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов, содержащие персональные данные граждан, обратившихся в Учреждение, в единичном или сводном виде:
3.6.3.1. заявления;
3.6.3.2. справки по месту требования в соответствии с законом;
3.6.3.3. другие документы предусмотренные законодательством.
4. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
4.1. Допуск к персональным данным субъекта могут иметь только те работники Учреждения, которым персональные данные необходимы в связи с исполнением ими своих трудовых обязанностей. Перечень таких работников отражен в «Списке лиц, доступ которых к персональным данным необходим для выполнения трудовых обязанностей».
4.2. Процедура оформления допуска к персональным данным представляет собой следующую строгую последовательность действий:
4.2.1. ознакомление работника под роспись с настоящим Положением, «Перечнем персональных данных…» и другими локальными актами Учреждения, касающимися обработки персональных данных;
4.2.2. истребование с работника «Обязательства о неразглашении информации, содержащей персональные данные»;
4.2.3. внесение работника в «Список лиц, доступ которых к персональным данным необходим для выполнения трудовых обязанностей» и в «Журнал учета лиц, допущенных к работе с персональными данными в информационных системах».
4.3. Каждый работник должен иметь доступ к минимально необходимому набору персональных данных субъектов, необходимых ему для выполнения трудовых обязанностей.
4.4. Работникам, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным субъектов запрещается.
4.5. Любой субъект имеет право, за исключением случаев, предусмотренных законодательством:
4.5.1. на получение сведений об Учреждении в соответствии со ст. 14 ФЗ № 152 от 27.06.2006 г.;
4.5.2. на ознакомление со своими персональными данными;
4.5.3. на уточнение, блокирование или уничтожение своих персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленных Учреждением целей обработки.
4.6. В случае если Учреждение на основании договора (соглашения) поручает обработку персональных данных другому лицу, существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
5. Обработка персональных данных
5.1. Обработка персональных данных в Учреждении может осуществляться исключительно:
Для Заявителей - в целях предоставления государственных и муниципальных услуг; в целях установления связи с Заявителем при необходимости, в том числе направления уведомлений, информаций и запросов, связанных с предоставлением услуг; в целях улучшения качества предоставления услуг, представленных в Учреждении.
Для Работников - в целях исполнения прав и обязанностей сторон трудового договора, исполнения законодательства (передача отчетности и др.) в сфере социального страхования, законодательства в сфере воинского учета, пенсионного законодательства, налогового законодательства, исполнения требования других федеральных законов, содействия в обучении и продвижении по службе, обеспечение сохранности имущества, оформления доверенностей, перечисления денежных средств (заработная плата) на банковский счет, открытый для расчетов с использованием банковских карт.
Для Соискателей - в целях содействия в трудоустройстве и прохождения конкурсного отбора на вакантные должности.
Для физических лиц, направивших в Учреждение устное и/или письменное обращение/заявление/жалобу – в целях рассмотрения и проведения мероприятий по урегулированию ситуаций, по которым физические лица обратились в Учреждение.При определении объема и содержания обрабатываемых персональных данных Учреждение должно руководствоваться Конституцией Российской Федерации от 25.12.1993, Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и иными федеральными законами Российской Федерации.
5.2. Персональные данные субъектов обрабатываются и хранятся в помещениях Учреждения и на учтенных машинных носителях в соответствии с «Инструкцией по учету машинных носителей».
5.3. Персональные данные субъектов могут быть получены, обработаны и переданы как на бумажных носителях, так и в электронном виде – в локальной компьютерной сети, в компьютерных программах и электронных базах данных.
5.4. При использовании типовых форм документов, обрабатываемых без использования средств автоматизации, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
5.4.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы), должны содержать:
5.4.1.1. сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;
5.4.1.2. имя (наименование) и адрес Учреждения;
5.4.1.3. фамилию, имя, отчество и адрес субъекта персональных данных;
5.4.1.4. источник получения персональных данных;
5.4.1.5. сроки обработки персональных данных;
5.4.1.6. перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
5.4.1.7. общее описание используемых Учреждением способов обработки персональных данных;
5.4.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, в тех случаях, когда существует необходимость получения письменного согласия на обработку персональных данных;
5.4.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
5.4.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5.5. При ведении журналов (реестров, книг) без использования средств автоматизации, содержащих персональные данные, должны соблюдаться следующие условия:
5.5.1. необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом Учреждения, содержащим:
5.5.1.1. сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;
5.5.1.2. способы фиксации и состав информации, запрашиваемой у субъектов персональных данных;
5.5.1.3. перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги);
5.5.1.4. сроки обработки персональных данных;
5.5.2. копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
5.6. При обработке персональных данных допущенные к ним лица обязаны соблюдать нижеперечисленные требования:
5.6.1. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации прав и свобод граждан Российской Федерации.
5.6.2. Работникидолжны быть ознакомлены под расписку с нормативными документами Учреждения, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
5.6.3. Субъекты персональных данных, не являющиеся работниками Учреждения, имеют право ознакомиться с нормативными документами Учреждения, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
5.6.4. В случае выявления недостоверных персональных данных субъекта или неправомерных действий с ними работников Учреждения при обращении или по запросу гражданина, являющегося субъектом персональных данных, или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, необходимо осуществить блокирование персональных данных, относящихся к соответствующему гражданину, с момента такого обращения или получения такого запроса на период проверки.
5.6.5. В случае подтверждения факта недостоверности персональных данных на основании документов, представленных субъектом персональных данных, или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов необходимо уточнить персональные данные и снять их блокирование.
5.6.6. В случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты инцидента, необходимо устранить допущенные нарушения. В случае если обеспечить правомерность обработки персональных данных невозможно, Учреждение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, – также указанный орган.
5.7. Получение персональных данных
5.7.1. Учреждение не имеет права получать и обрабатывать персональные данные работников Учреждения и других субъектов персональных данных об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, кроме случаев, когда субъект персональных данных дал согласие в письменной форме с указанием данных категорий персональных данных.
5.7.2. Персональные данные следует получать лично у субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку Учреждению в случаях предусмотренных законодательством Российской Федерации. Форма согласия субъекта на обработку персональных данных представлена в Приложении № 1 и Форма согласия работника на обработку персональных данных в Приложение № 2 к настоящему Положению.
5.7.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Форма отзыва согласия на обработку персональных данных представлена в Приложении №3 к настоящему Положению.
5.7.4. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных. Форма согласия субъекта на получение его персональных данных от третьей стороны представлена в Приложении №4 к настоящему Положению.
5.7.5. Работник Учреждения должен сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
5.7.6. Работник Учреждения должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.
5.7.7. При принятии решений, затрагивающих интересы субъекта персональных данных, не допускается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
5.7.8. При получении персональных данных субъекту персональных данных разъясняются юридические последствия отказа предоставить свои персональные данные. Форма разъяснения юридических последствий отказа предоставить свои персональные данные в Приложении №5.
5.8. Хранение персональных данных
5.8.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.8.2. Хранение персональных данных субъектов осуществляется на бумажных и электронных носителях, доступ к которым ограничен.
5.8.3. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях без использования средств автоматизации.
5.8.4. Личные дела хранятся в бумажном виде в папках. Личные дела хранятся в специально отведенной секции сейфа или металлического шкафа, обеспечивающего защиту от несанкционированного доступа.
5.8.5. Работники, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением Правительства Российской Федерации 15 сентября 2008 г. № 687.
5.8.6. Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, удовлетворяющие устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.
5.9. При передаче персональных данных субъекта Учреждение обязано соблюдать нижеперечисленные требования:
5.9.1. Передавать персональные данные субъектов допускается только тем работникам, которые имеют допуск к обработке персональных данных.
5.9.2. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации и иными федеральными законами. Форма заявления субъекта на передачу его персональных данных третьей стороне представлена в Приложении №6 настоящего Положения.
5.9.3. Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности.
5.9.4. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
5.9.5. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции. Информация запрашивается с письменного согласия субъекта персональных данных.
5.9.6. Передавать персональные данные субъекта представителям субъектов в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
5.9.7. Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета запросов от сторонних лиц в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также перечень переданной информации. Форма журнала представлена в Приложении №7 к настоящему Положению.
5.9.8. Сведения о выдаче ответов на обращения граждан регистрируются в Журнале учета обращений граждан. Форма журнала представлена в Приложении №8 к настоящему Положению.
5.10. Конфиденциальность персональных данных
5.10.1. Учреждение обеспечивает конфиденциальность персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.
5.10.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (машинные) носители информации.
5.10.3. Все работники, имеющие доступ к персональным данным субъектов, обязаны подписать обязательство о неразглашении информации, содержащей персональные данные. Форма обязательства о неразглашении информации, содержащей персональные данные представлена в Приложении №9 настоящего Положения.
5.11. Уничтожение персональных данных
5.11.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.11.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством Российской Федерации, а также нормативными документами Учреждения.
5.11.3. Уничтожение носителей информации (как бумажных, так и машинных) производится по решению Директора Учреждения.
5.11.4. Вывод из эксплуатации машинного носителя производится путем его форматирования, либо путем его механического повреждения в присутствии ответственного за обеспечение безопасности персональных данных.
5.11.5. Бумажные носители персональных данных уничтожаются в бумагорезательной машине, а также путем сжигания.
5.11.6. По факту уничтожения персональных данных составляется акт, утверждаемый Директором Учреждения. Форма акта представлена в Приложении №10 настоящего Положения.
6. Права и обязанности субъектов персональных данных и учреждения
6.1. В целях обеспечения защиты персональных данных субъекты имеют право:
6.1.1. получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
6.1.2. осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
6.1.3. требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства Российской Федерации;
6.1.4. при отказе Учреждения или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
6.1.5. дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения;
6.1.6. требовать от Учреждения или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
6.1.7. обжаловать в судебном порядке любые неправомерные действия или бездействие Учреждения или уполномоченного им лица при обработке и защите персональных данных субъекта.
6.2. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
6.3. Для защиты персональных данных субъектов Учреждения:
6.3.1. обеспечивает защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
6.3.2. производит ознакомление субъекта или его представителей с настоящим Положением и его правами в области защиты персональных данных под расписку;
6.3.3. по запросу производит ознакомление субъекта персональных данных, не являющегося работником, или в случае недееспособности субъекта, его законных представителей с настоящим Положением и его правами в области защиты персональных данных;
6.3.4. осуществляет передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
6.3.5. предоставляет персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
6.3.6. обеспечивает субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
6.3.7. по требованию субъекта или его законного представителя предоставляет ему информацию о его персональных данных и обработке этих данных.
7. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Учреждением за счет своих средств, если иное не предусмотрено законодательством РФ.
7.2. В Учреждении защите подлежат все сведения, содержащие персональные данные субъектов, в том числе:
7.2.1. зафиксированные в бумажных документах;
7.2.2. зафиксированные в электронных документах на технических средствах, включая внешние носители;
7.2.3. речевая (акустическая) информация, содержащая персональные данные;
7.2.4. текстовая и графическая видовая информация, содержащая персональные данные;
7.2.5. информация, представленная в виде информативных электрических сигналов, физических полей, содержащая персональные данные.
7.3. Защита персональных данных должна вестись по трем взаимодополняющим направлениям:
7.3.1. Проведение организационных мероприятий:
7.3.1.1. разработка и внедрение внутренних организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных субъектов, в том числе порядок доступа в помещения и к персональным данным;
7.3.1.2. ознакомление работников с законодательством Российской Федерации и внутренними нормативными документами, получение обязательств, касающихся обработки персональных данных;
7.3.1.3. проведение обучения работников вопросам защиты персональных данных.
7.3.2. Программно-аппаратная защита:
7.3.2.1. разработка модели угроз безопасности персональных данных;
7.3.2.2. внедрение программно-аппаратных средств защиты информации, прошедших в соответствии с Федеральным законом № 184 от 27.12.2002 г. «О техническом регулировании» оценку соответствия;
7.3.2.3. организация учета носителей персональных данных.
7.3.3. Инженерно-техническая защита:
7.3.3.1. установка сейфов или запирающихся шкафов для хранения носителей персональных данных;
7.3.3.2. установка усиленных дверей, сигнализации, режима охраны здания и помещений, в которых обрабатываются персональные данные.
7.4. Определение конкретных мер, общую организацию, планирование и контроль выполнения мероприятий по защите персональных данных осуществляет ответственный за обеспечение безопасности персональных данных в соответствии с законодательством в области защиты персональных данных и локальными актами Учреждения.
7.5. Организацию и контроль защиты персональных данных в Учреждении осуществляет ответственный за организацию обработки персональных данных Учреждения.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
8.1. РаботникиУчреждения, виновные в нарушении норм, регулирующих обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
Приложение №1
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
утверждено приказом от 13.07.2017 №64
Директору МАУ «МФЦ ЗГО»
_______________________________
456200, Челябинская область, г. Златоуст, ул. им. Н.Б. Скворцова, д.32
от ______________________________
________________________________
Согласие на обработку персональных данных
|
|
|
Я, ___________________________________________________________________________________,
(Ф.И.О.)
Проживающий(ая) по адресу:____________________________________________________________
Паспорт №________________, выданный __________________________________________________
______________________________________________________________________________________
(кем и когда)
в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», даю согласие на обработку моих персональных данных, а именно:
______________________________________________________________________________________
(указать состав персональных данных)
_______________________________________________________________________________
_______________________________________________________________________________
для обработки в целях:
(указать цели обработки)
_______________________________________________________________________________
______________________________________________________________________________________
Настоящее согласие дается на осуществление следующих действий в отношении персональных данных, которые необходимы для достижения указанных выше целей, включая, без ограничения: ____________________________________________________________________________________________________________________________________________________________________________
Способ обработки персональных данных: смешанный.
Я ознакомлен(а) с документами МАУ «МФЦ ЗГО», устанавливающими порядок обработки персональных данных, а также с правами и обязанностями в этой области.
Данное Согласие действует с _______________ до __________________
Условием прекращения действия данного Согласия является окончание срока действия согласия или отзыв согласия субъектом персональных данных. Согласие может быть отозвано субъектом персональных данных или его уполномоченным представителем в письменной форме.
|
_____________________ дата |
______________ подпись |
_______________ И. О. Фамилия |
Приложение № 2
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
утверждено приказом от 13.07.2017 №64
Директору МАУ «МФЦ ЗГО»
________________________________
456200, Челябинская область, г. Златоуст, ул. им. Н.Б. Скворцова, д.32
от ______________________________
________________________________
СОГЛАСИЕ
РАБОТНИКА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, ___________________________________________________________________________________,
(Ф.И.О.)
Проживающий(ая) по адресу:____________________________________________________________
Паспорт №________________, выданный __________________________________________________
______________________________________________________________________________________
(кем и когда)
настоящим даю свое согласие на обработку (любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, распространение, блокирование, уничтожение) моих персональных данных, к которым относятся: фамилия, имя, отчество; год, месяц и дата рождения; место рождения; адрес, семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; фотография; Гражданство; пол; сведения о документе, удостоверяющем личность; сведения о воинской обязанности; сведения о трудовой деятельности; сведения о составе семьи; сведения об уплаченных налогах и сборах; сведения о получаемых льготах и выплатах; реквизиты ИНН, СНИЛС, расчетных счетов; наименование и степень знания иностранного языка; сведения о состоянии здоровья; сведения о наградах; сведения о присвоении ученой степени, ученого звания (если таковые имеются); контактный номер телефона; электронный адрес; иные персональные данные, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены при заключении трудового договора или в период его действия.
Я даю согласие на использование моих персональных данных предусмотренным действующим законодательством в целях: исполнения прав и обязанностей сторон трудового договора; исполнения законодательства (передача отчетности и др.) в сфере социального страхования, законодательства в сфере воинского учета, пенсионного законодательства, налогового законодательства, исполнения требования других федеральных законов; содействия в обучении и продвижении по службе; обеспечение сохранности имущества; оформления доверенностей; перечисления денежных средств (заработная плата) на счет, открытый для расчетов с использованием банковских карт.
МАУ «МФЦ ЗГО» гарантирует, что обработка моих личных данных осуществляется в соответствии с действующим законодательством РФ и «Положением об обработке и защите персональных данных Муниципального автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг на территории Златоустовского городского округа», утверждённого приказом №МФЦ-53 от 18.05.2015.
Данное Согласие действует с ________________ и до _______________.
Условием прекращения действия данного Согласия является окончание срока действия согласия или отзыв согласия субъектом персональных данных. Согласие может быть отозвано субъектом персональных данных или его уполномоченным представителем в письменной форме.
Дата_______________ Подпись______________ /__________________________/
Приложение №3
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
утверждено приказом от 13.07.2017 №64
Директору МАУ «МФЦ ЗГО»
________________________________
456200, Челябинская область, г. Златоуст, ул. им. Н.Б. Скворцова, д.32
от ______________________________
________________________________
Отзыв согласия на обработку персональных данных
Я, ___________________________________________________________________________________,
(Ф.И.О.)
Проживающий(ая) по адресу:____________________________________________________________
Паспорт №________________, выданный __________________________________________________
______________________________________________________________________________________
(кем и когда)
прошу Вас прекратить обработку моих персональных данных в связи с
_______________________________________________________________________________
_______________________________________________________________________________
|
_____________________ дата |
______________ подпись |
_______________ И. О. Фамилия |
Приложение №4
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
утверждено приказом от 13.07.2017 №64
Директору МАУ «МФЦ ЗГО»
________________________________
456200, Челябинская область, г. Златоуст, ул. им. Н.Б. Скворцова, д.32
от ______________________________
________________________________
Согласие
субъекта персональных данных на получение его персональных данных от третьей стороны
Я, ___________________________________________________________________________________,
(Ф.И.О.)
Проживающий(ая) по адресу:____________________________________________________________
Паспорт №________________, выданный __________________________________________________
______________________________________________________________________________________
(кем и когда)
в соответствии со ст. 86 Трудового Кодекса Российской Федерации, согласен на получение моих персональных данных, а именно: ________________________________________________________________
(указать состав персональных данных)
________________________________________________________________________________
________________________________________________________________________________
для обработки в целях: ____________________________________________________________
(указать цели обработки)
________________________________________________________________________________
у следующих лиц: ________________________________________________________________
(указать Ф.И.О. физического лица или наименование организации, у которой собираются данные)
________________________________________________________________________________
Настоящее согласие дается на осуществление следующих действий в отношении персональных данных, которые необходимы для достижения указанных выше целей, включая, без ограничения: ____________________________________________________________________________________________________________________________________________________________________________
Способ обработки персональных данных: __________________
Я также утверждаю, что ознакомлен(а) с возможными последствиями моего отказа дать письменное согласие на их получение.
Данное Согласие действует с _______________ до __________________
Условием прекращения действия данного Согласия является окончание срока действия согласия или отзыв согласия субъектом персональных данных. Согласие может быть отозвано Субъектом персональных данных или его уполномоченным представителем в письменной форме.
|
_____________________ дата |
______________ подпись |
_______________ И. О. Фамилия |
Приложение №5
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
утверждено приказом от 13.07.2017 №64
РАЗЪЯСНЕНИЕ
субъекту персональных данных юридических последствий
отказа предоставить свои персональные данные
Мне,__________________________________________________________________________
в соответствии с частью 2 статьи 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» разъяснены юридические последствия отказа предоставления персональных данных в МАУ «МФЦ ЗГО»
|
_____________________ дата |
______________ подпись |
_______________ И. О. Фамилия |
|
|
|
|
Приложение №6
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
утверждено приказом от 13.07.2017 №64
Директору МАУ «МФЦ ЗГО»
________________________________
456200, Челябинская область, г. Златоуст, ул. им. Н.Б. Скворцова, д.32
от ______________________________
________________________________
Согласие
субъекта персональных данных на передачу его персональных данных третьей стороне
Я, _________________________________________________________________________________,
(Ф.И.О.)
Проживающий по адресу:______________________________________________________________
Паспорт №________________, выданный_________________________________________________
(кем и когда)
в соответствии со ст. 88 Трудового Кодекса Российской Федерации согласен на передачу моих персональных данных, а именно: _______________________________________________________________
(указать состав персональных данных)
_______________________________________________________________________________
_______________________________________________________________________________
для обработки в целях: ___________________________________________________________
(указать цели обработки)
_______________________________________________________________________________
следующим лицам:_______________________________________________________________
(указать Ф.И.О. физического лица или наименование организации, которым сообщаются данные, адрес)
_______________________________________________________________________________
Настоящее согласие дается на осуществление следующих действий в отношении персональных данных, которые необходимы для достижения указанных выше целей, включая: __________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Способ обработки персональных данных: __________________.
Я также утверждаю, что ознакомлен(а) с возможными последствиями моего отказа дать письменное согласие на их передачу.
Данное Согласие действует с _______________ до __________________
Условием прекращения действия данного Согласия является окончание срока действия согласия или отзыв согласия субъектом персональных данных. Согласие может быть отозвано Субъектом персональных данных или его уполномоченным представителем в письменной форме.
|
_____________________ дата |
______________ подпись |
_______________ И. О. Фамилия |
|
|
|
|
Приложение №7
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
Журнала учета запросов от сторонних лиц
|
№ п/п |
Дата запроса |
Наименование запрашивающей стороны |
Адрес запрашивающей стороны |
ФИО субъекта ПДн, сведения о котором запрашиваются |
|
1 |
2 |
3 |
4 |
5 |
|
|
|
|
|
|
|
Цель и краткое содержание запроса, запрашиваемые сведения |
ФИО и должность исполнителя |
Отметка о передаче / отказе в передаче персональных данных (номер, дата, форма, переданные сведения) |
Примечания |
|
6 |
7 |
8 |
9 |
|
|
|
|
|
Приложение №8
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
Журнала учета обращений граждан
|
№ п/п |
Дата обращения |
ФИО заявителя |
Адрес заявителя |
Цель и краткое содержание обращения, запрашиваемые сведения |
ФИО и должность исполнителя |
Отметка о выдаче ответа на обращение (номер, дата, форма, переданные сведения) |
Примечания |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
|
|
|
|
|
|
|
|
Приложение №9
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
|
|
|
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я, ___________________________________________________________________________________,
(Ф.И.О.)
Проживающий(ая) по адресу:____________________________________________________________
Паспорт №________________, выданный __________________________________________________
______________________________________________________________________________________
(кем и когда)
предупрежден(а) о том, что на период исполнения мною должностных обязанностей _____________________________________________________________________________
(наименование профессии/должности)
в качестве работника МАУ «МФЦ ЗГО» (далее – Учреждения) в период трудовых отношений и в течение 3 (трех) лет после их окончания принимаю на себя обязательства:
1. Не разглашать, не передавать третьим лицам сведения и не раскрывать публично сведения и информацию ограниченного доступа (в т. ч. персональные данные), которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
2. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты информации ограниченного доступа (в т.ч. персональных данных);
3. В случае попытки третьих лиц получить от меня сведения и информацию ограниченного доступа Учреждения, сообщать об этом факте непосредственному руководителю;
4. Не использовать информацию ограниченного доступа с целью получения выгоды;
5. Немедленно сообщать руководителю обутрате или недостаче носителей информации ограниченного доступа, ключей от помещений (хранилищ, сейфов), личных печатей, а также о причинах и условиях возможной утечки сведений;
6. В случае моего увольнения все носители информации Учреждения, которые находились в моем распоряжении в связи с выполнением трудовых обязанностей, передать ответственному лицу.
Я предупрежден(а), что в случае нарушения данного обязательства буду привлечен(а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
Я ознакомлен(а) с Положением об обработке и защите персональных данных Муниципального автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг на территории Златоустовского городского округа»
|
_____________________ дата |
______________ подпись |
_______________ И. О. Фамилия |
|
|
|
|
|
|
|
|
Приложение №10
к Положению об обработке и защите персональных данных МАУ «МФЦ ЗГО»
Утверждаю:
Директор МАУ «МФЦ ЗГО»
________________________
___________________20__г.
АКТ №____
об уничтожении материальных носителей персональных данных
Комиссия в составе:
Председатель - __________________________________________________
Члены комиссии - __________________________________________________
- __________________________________________________
провела отбор бумажных, электронных, магнитных и оптических носителей персональных данных и другой конфиденциальной информации и установила, что в соответствии с действующим законодательством Российской Федерации, указанные носители и информация записанная на них в процессе эксплуатации, подлежит гарантированному уничтожению:
|
№ п/п |
Дата |
Тип носителя |
Регистрационный номер носителя ПДн |
Примечание |
|
|
|
|
|
|
|
|
|
|
|
|
Всего носителей ____________________________________________.
(цифрами и прописью количество)
На указанных носителях персональные данные уничтожены путем
__________________________________________________________________.
(стирания на устройстве гарантированного уничтожения информации и т.п.)
Перечисленные носители персональных данных __________________________________________________ уничтожены путем
__________________________________________________________________.
(разрезания, сжигания, механического уничтожения и т.п.)
Председатель комиссии:
__________________________________________________________________
(Должность Фамилия ИО)
Члены комиссии:
__________________________________________________________________
(Должность Фамилия ИО)
__________________________________________________________________
(Должность Фамилия ИО)
.png)
.png)
.png)
.png)
