Приложение №9
к приказу от 01-16-56 от 29.01.2018
ПОЛИТИКА
в отношении обработки персональных данных в МУ "КЦСОН Красноперекопского района г.Ярославля"
1. Общие положения
1.1. Политика обработки персональных данных (далее - Политика) в МУ «КЦСОН Красноперекопского района г. Ярославля» (далее – Оператор) определяет основные принципы, цели, условия и способы обработки персональных данных (далее – ПДн), действия и операции, совершаемые с ПДн, права субъектов ПДн, а также обязанности и ответственность работников Оператора, осуществляющих обработку ПДн.1.2. Настоящее Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.
1.3. Действие настоящей Политики распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, обработки, распространению, передаче, обезличиванию, блокированию, уничтожению ПДн, осуществляемые в информационных системах персональных данных (далее - ИСПДн) Оператора.1.4. Все работники Оператора, допущенные к ПДн, должны быть ознакомлены под роспись с настоящей Политикой и иными документами Оператора, устанавливающими порядок обработки ПДн.
1.5. Настоящая Политика утверждается и вступает в силу приказом директора и действует до ее отмены либо замены новой Политикой. Текст Политики размещается на сайте Оператора.1.6. В Политике используются следующие основные понятия (Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»):
- ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
- оператор ПДн - физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, их состав, действия, совершаемые с ПДн;
- обработка ПДн - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
- ИСПД – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку с помощью информационных технологий и технических средств;
- распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
- предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
- блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
- уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
- обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных.
2. Основные принципы обработки ПДн
2.1. Согласно ст.5 Закона №152-ФЗ при обработке ПДн должны соблюдаться следующие принципы:
- обработка должна осуществляться на законной и справедливой основе и с согласия Субъекта ПДн на обработку его ПДн;
- все ПДн следует получать от самого Субъекта. Если ПДн Субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлен об этом или от него должно быть получено согласие. Работник должен быть уведомлен о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение.
- обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;
- хранение ПДн не должно длиться дольше, чем этого требуют цели обработки, если срок хранения ПДн не установлен федеральным законом. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки либо если Субъект отозвал согласие на обработку ПДн или обработка ПДн была неправомерной.
3. Категории субъектов ПДн, способы обработки ПДн.
3.1 Обработке Оператором подлежат ПДн следующих субъектов ПДн: — работники Оператора; — родственники работников Оператора; — бывшие работники Оператора; — получатели социальных услуг (далее – ПСУ); — контрагенты;
3.2 Обработка ПДн у Оператора осуществляется следующими способами:
не автоматизированная обработка ПДн; автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; смешанная обработка персональных данных.4. Цели обработки ПДн категорий субъектов ПДн.
4.1. Основные цели обработки ПДн у Оператора:
- обеспечение соблюдения Конституции Российской Федерации, Трудового кодекса РФ, иных нормативных правовых актов Российской Федерации;
- осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора.
4.2. Цели обработки ПДн работников, родственников работников, бывших работников Оператора связаны с выполнением работником трудовых функций:
- оформление и регулирование трудовых отношений с работниками;
- осуществление профессионального роста работников;
- предоставление социальных гарантий и льгот;
- установления размера заработной платы;
- обеспечение личной безопасности работников и их жизнедеятельности;
- выполнение требований законодательства Российской Федерации по ведению бухгалтерского и налогового учета;
- предоставления отчетности в налоговые органы, пенсионный фонд, Фонд социального страхования;
- использование электронного документооборота: передача персональных данных посредством третьих лиц (ООО «Тензор», Сбербанка Бизнес Онлайн);
- сохранность имущества Оператора;
- ведение воинского учета;
- работа в программах «1C: Предприятие. Зарплата и кадры», «СБИС»;
- для иных законных целей.
4.3. Цели обработки ПДн получателей социальных услуг:
- обеспечение сохранности имущества Оператора;
- для обеспечения оказания социальных услуг населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с Федеральными законами от 28 декабря 2013 г. № 442-ФЗ «Об основах социального обслуживания граждан в Российской Федерации»;
- информирование о новых услугах, мероприятиях и пр.;
- повышение оперативности и качества обслуживания ПСУ, организация адресного, дифференцированного и индивидуального обслуживания;
- для рассмотрения претензий Оператора к ПСУ и совершения иных действий, порождающих юридические последствия в отношении Субъектов ПДн при нарушении ими правил внутреннего распорядка или нанесения материального ущерба;
- работа в автоматизированной информационной системе «АРМ», Регистр Ярославской области (для предоставления статистической отчетности);
- использование изображений лица путем размещения в сети Интернет.
4.4. Цели обработки ПДн контрагентов, с которыми Оператор вступает в деловые отношения:
- получение товаров и услуг, связанных с хозяйственной деятельностью разного профиля Оператора;
- для иных законных целей.
5. Объем обрабатываемых ПДн категорий субъектов ПДн.
5.1. Объем ПДн категорий субъектов ПДн, обрабатываемых у Оператора, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора с учетом целей обработки ПДн, указанных в разделе 4 Политики.
5.2. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни у Оператора не осуществляется за исключением случаев, установленных ч.2 ст. 10 Закона №152-ФЗ.
При приеме на работу сотрудник Оператора обрабатывает следующие ПДн работника: ФИО, дату и место рождения, паспортные данные, семейное положение, сведения о близких родственниках, отношение к воинской обязанности, адрес местожительства, телефон, образование, специальность, предыдущее(ие) место(а) работы, номер СНИЛС, ИНН, банковские реквизиты карты. Для этого сотрудник предоставляет следующие документы:- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
- документ об образовании, о квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
- свидетельство о присвоении идентификационного номера налогоплательщика;
- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям.
В отдельных случаях с учетом специфики работы может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.
5.3. ПСУ при приеме на обслуживание предоставляют следующие ПДн: ФИО, дату рождения, паспортные данные, семейное положение, адрес регистрации и адрес фактического пребывания, номер СНИЛС, номер телефона, адрес электронной почты (при наличии). Для этого ПСУ предоставляет следующие документы:
- паспорт или иной документ, удостоверяющий личность;
- страховое свидетельство государственного пенсионного страхования;
- справка об инвалидности;
- пенсионное удостоверение;
- справка о составе семьи;
- справка из пенсионного фонда о размере пенсии, единовременной денежной компенсации (ЕДК) и единовременной денежной выплаты (ЕДВ).
- цветное цифровое фотографическое изображение лица;
5.4. Контрагенты предоставляют следующие данные: ФИО, ИНН, банковские реквизиты, коды КПП, ОГРН, адрес, телефон, уведомление об упрощенной системе налогообложения (неплательщики НДС)./p>
5.5. В отдельных случаях с учетом специфики работы может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.
6. Получение и обработка ПДн.
6.1 ПДн Оператор получает непосредственно от субъекта ПДн. Оператор вправе получать ПДн от третьих лиц только при наличии письменного согласия Субъекта или в иных случаях, предусмотренных в законодательстве Российской Федерации.
6.2 При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, заполняет анкету, в которой указывает следующие сведения о себе: ФИО, дату и место рождения, паспортные данные, семейное положение, сведения о близких родственниках, отношение к воинской обязанности, адрес местожительства, телефон, образование, специальность, предыдущее(ие) место(а) работы. В анкету вклеивается фотография работника. Анкета работника хранится в его личном деле.
6.3 На каждого работника заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника: табельный номер работника, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, сведения о характере и виде работы, пол работника, ФИО, дата рождения, место рождения, гражданство, сведения о знании иностранных языков, об образовании, профессии, о стаже работы, о составе семьи, о паспорте, адрес прописки и фактического проживания, телефон, номер трудового договора, сведения о воинском учете, данные о приеме на работу. В дальнейшем в личную карточку вносятся: сведения о занимаемых работником должностях, о переводах на другую работу, об аттестации работника, о повышении квалификации, о профессиональной переподготовке, о наградах (поощрениях), почетных званиях, об отпусках, о социальных льготах, на которые работник имеет право в соответствии с законодательством.
6.4 Ведение личных дел возложено на специалиста по кадрам. Личные дела хранятся в бумажном виде в папках в специально отведенном шкафу под замком. ПДн так же могут храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.
6.5 Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и его частной жизни.
6.6 Работник предоставляет работодателю достоверные сведения о себе. Работодатель может проверить достоверность сведений, сверяя данные, представленные работником, с имеющимися документами. Копии с предоставленных документов не снимаются и не хранятся в личном деле работника. При изменении ПДн работник письменно уведомляет работодателя о таких изменениях в срок, не превышающий 14 дней.
6.7 Принимая решение о предоставлении своих ПДн, работник дает согласие на их обработку. Согласие должно быть конкретным, информированным и сознательным. Работник в любое время вправе отозвать согласие на обработку персональных данных.
6.8 Обработка Оператором ПДн ведется с использованием средств автоматизации или без использования средств автоматизации.
7. Возможность предоставления ПДн третьим лицам.
7.1 Передача сотрудниками Оператора ПДн работника третьей стороне возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
7.2 Предоставление сотрудниками Оператора ПДн работников третьим лицам без соответствующего их согласия возможно в следующих случаях:- в целях предупреждения угрозы жизни и здоровья работника;
- при поступлении официальных запросов в соответствии с положениями Федерального закона от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности»;
- при поступлении официальных запросов из следующих организаций: налоговые органы, органы Пенсионного Фонда России, органы Фонда социального страхования, судебные органы, территориальный фонд обязательного медицинского страхования (на законных основаниях), банки для выплаты заработной платы и пособий (на основании договора), военкомат.
7.3 ПДн работника не должны сообщаться по телефону или факсу кому бы то ни было.V
7.4 При передаче ПДн работника работодатель обязан предупредить лиц, получающих ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие ПДн работника, обязаны соблюдать режим конфиденциальности и обеспечивать безопасность полученных ПДн.
8. Обеспечение защиты ПДн.
8.1 Для обеспечения защиты ПДн при их обработке ответственные сотрудники Оператора принимают меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:
- применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
- назначение ответственных за обработку ПДн;
- издание документов, определяющих Политику Оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам,
- ограничение физического доступа к защищаемым объектам;
- сопровождение посетителей и иных посторонних лиц на территории организации (в пределах контролируемой зоны) постоянными сотрудниками организации либо оборудование мест пребывания посетителей системой видеонаблюдения;
- оснащение помещений, занимаемых Оператором, системой охранной сигнализации либо обеспечение охраны помещений в нерабочее время;
- определение актуальных угроз безопасности ПДн, которые могут иметь место при их обработке в ИСПДн в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- выявление и проведение расследования инцидентов нарушения информационной безопасности;
- ознакомление сотрудников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими Политику Оператора в отношении обработки ПДн; установление правил доступа к ПДн, обрабатываемым в ИСПДн; установление индивидуальных паролей доступа сотрудников в ИСПДн в соответствии с их производственными обязанностями; наличие сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами; наличие сертифицированного программного средства защиты информации от
- несанкционированного доступа;
восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8.2. Документы, содержащие ПДн сотрудников, размещены в сейфах, металлических несгораемых шкафах с замками.
8.3. Уничтожение документов (носителей), содержащих ПДн производится путем применение шредера. ПДн на электронных носителях уничтожаются путем удаления или форматирования носителя. Уничтожение производится комиссией. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей ПДн, подписанным членами комиссии.
9. Право субъекта ПДн на доступ к его персональным данным.
9.1. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.2. Сведения предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.3. Оператор вправе отказать субъекту ПДн в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
9.4. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн Оператором;
- правовые основания и цели обработки ПДн;
- цели и применяемые Оператором способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
9.5. Если субъект ПДн считает, что оператор осуществляет обработку его ПДн с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в органе, уполномоченном по вопросам защиты прав субъектов ПДн, или в судебном порядке.
9.6. Субъект ПДн имеет право подать запрос на предоставление сведений, касающихся обработки ПДн субъекта ПД (приложение), заявление об отзыве согласия на обработку ПДн (приложение).
Запрос на предоставление сведений, касающихся обработки персональных данных субъекта персональных данных
Директору
МУ «КЦСОН Красноперекопского района г. Ярославля»
Фамилия и инициалы руководителя
От: (фамилия, имя, отчество субъекта персональных данных)
паспорт:серия, номер,дата выдачи,наименование органа, выдавшего паспорт
Сведения, подтверждающие участие субъекта в отношениях с Оператором:№ и дата заключения договора, иные сведения
В соответствии со ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» прошу предоставить следующие сведения (отметить необходимое):
⬜ подтверждение факта обработки моих персональных данных;
⬜ правовые основания и цели обработки моих персональных данных;
⬜ способы обработки моих персональных данных;
⬜ наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные данные;
⬜ обрабатываемые персональные данные, относящиеся ко мне, и источник их получения;
⬜ сроки обработки моих персональных данных, в том числе сроки их хранения;
⬜ порядок осуществления мною прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
⬜ сведения об осуществленной или предполагаемой трансграничной передаче моих персональных данных;
⬜ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных по поручению Оператора;
⬜ иные сведения:
Указанные сведения прошу предоставить:⬜ в письменном виде по адресу:
⬜ по адресу электронной почты:
(дата) (подпись)
Запрос на предоставление сведений, касающихся обработки персональных данных субъекта, от представителя субъекта персональных данных
Директору
МУ «КЦСОН Красноперекопского района г. Ярославля»
Фамилия и инициалы руководителя
От: (фамилия, имя, отчество субъекта персональных данных)
паспорт:серия, номер,дата выдачи,наименование органа, выдавшего паспорт
Сведения, подтверждающие участие субъекта в отношениях с Оператором:№ и дата заключения договора, иные сведения
В соответствии со ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» прошу предоставить следующие сведения (отметить необходимое):⬜ подтверждение факта обработки моих персональных данных;
⬜ правовые основания и цели обработки моих персональных данных;
⬜ способы обработки моих персональных данных;
⬜ наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные данные;
⬜ обрабатываемые персональные данные, относящиеся ко мне, и источник их получения;
⬜ сроки обработки моих персональных данных, в том числе сроки их хранения;
⬜ порядок осуществления мною прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
⬜ сведения об осуществленной или предполагаемой трансграничной передаче моих персональных данных;
⬜ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных по поручению Оператора;
⬜ иные сведения:
в отношении (фамилия, имя, отчество субъекта персональных данных)
документ, удостоверяющий личность: (серия, номер) выданный (дата выдачи; наименование органа, выдавшего документ)
Сведения, подтверждающие участие субъекта в отношениях с Оператором: (№ и дата заключения договора, иные сведения)
Указанные сведения прошу предоставить:
⬜ в письменном виде по адресу:
⬜ по адресу электронной почты:
(дата) (подпись)
Заявление об отзыве согласия на обработку персональных данных
Директору
МУ «КЦСОН Красноперекопского района г. Ярославля»
Фамилия и инициалы руководителя
Я, (фамилия, имя, отчество)
паспорт: выданный (серия, номер) (дата выдачи) (наименование органа, выдавшего паспорт)
отзываю согласие на обработку моих персональных данных, осуществляемую в целях: (цели обработки персональных данных, в отношении которых отзывается согласие)
по причине: (причину отзыва согласия указывать не обязательно)
(дата) (подпись)
Заявление об отзыве согласия на обработку персональных данных от представителя субъекта персональных данных
Директору
МУ «КЦСОН Красноперекопского района г. Ярославля»
Фамилия и инициалы руководителя
Я, (фамилия, имя, отчество)
паспорт: выданный (серия, номер) (дата выдачи) (наименование органа, выдавшего паспорт)
действуя на основании (реквизиты документа, подтверждающего полномочия представителя субъекта персональных данных)
от имени (фамилия, имя, отчество субъекта персональных данных)
документ, удостоверяющий личность (серия, номер) выданный (дата выдачи; наименование органа, выдавшего документ)
отзываю согласие на обработку моих персональных данных, осуществляемую в целях: (цели обработки персональных данных, в отношении которых отзывается согласие)
по причине: (причину отзыва согласия указывать не обязательно)
(дата) (подпись)