Екатеринбург.рф

Положение в отношении обработки персональных данных

Глава № 1. Общие положения

1. Данное Положение Муниципального бюджетного учреждения «Екатеринбургский муниципальный центр защиты потребителей» (далее — Положение) определяет порядок, условия обработки персональных данных и устанавливает требования по обеспечению безопасности персональных данных в Муниципальном бюджетном учреждении «Екатеринбургский муниципальный центр защиты потребителей» (далее — Учреждение).

2. Положение разработано в соответствии со следующими нормативными правовыми актами в области обработки и обеспечения безопасности персональных данных:

Конституция Российской Федерации;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;

Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

иными нормативными правовыми актами в области обработки и обеспечения безопасности персональных данных, а также руководящими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации.

3. Персональные данные относятся к категории конфиденциальной информации.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

4. Настоящее Положение о защите персональных данных утверждается директором Учреждения, и все сотрудники должны быть письменно под роспись ознакомлены с ним.

Глава № 2. Понятие и состав персональных данных

5. В настоящем Положении используются следующие основные понятия:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

6. В Учреждении обрабатываются персональные данные следующих субъектов персональных данных:

сотрудники Учреждения и их близкие родственники; принятые по договорам оказания услуг и их близкие родственники;

граждане, обратившиеся в Учреждение с обращениями, заявлениями с целью получения муниципальных услуг (работ), и их близкие родственники.

Состав персональных данных субъектов, перечисленных в абзаце 1 пункта 6 настоящего Положения, приведен в Таблице № 1. Состав персональных данных граждан, обратившихся в Учреждение с обращениями, заявлениями с целью получения муниципальных услуг (работ) (пункт 6 абзац 2), оказываемых Учреждением, и их близкие родственники, определяется приказом директора Учреждения «Об определении перечня персональных данных, обрабатываемых в информационных системах персональных данных».

Таблица № 1

Состав персональных данных Состав персональных данных фамилия, имя, отчество знание иностранных языков табельный номер данные об образовании ИНН серия/номер документа об образовании СНИЛС год окончания характер работы данные о квалификации вид работы направление или специальность по документу об образовании пол данные о послевузовском профессиональном образовании дата рождения профессия место рождения стаж работы гражданство состав семьи семейное положение данные о профессиональной переподготовке паспортные данные о наградах и поощрениях адрес проживания ученая степень адрес регистрации сведения о близких родственниках работника номер телефона сведения о трудовом и общем стаже сведения о воинском учете сведения о предыдущих местах работы данные о приеме на работу или переводе на другую работу категория занимаемая должность данные об отпусках данные об аттестации социальные льготы данные о повышении квалификации сведения об увольнении данные доходов данные о лицевом счете заработной платы фотография данные о судимости данные электронной подписи данные о водительском удостоверении данные о результативности и качестве работы сведения о состоянии здоровья реквизиты свидетельств о рождении личная подпись реквизиты трудовой книжки Сведения, указанные в Таблице № 1, являются конфиденциальными и не подлежат разглашению иначе как по основаниям, предусмотренным законодательством Российской Федерации.

Глава 3. Принципы обработки персональных данных

7. Обработка персональных данных Учреждением осуществляется на основании следующих принципов:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей (не допускается обработка персональных данных, несовместимая с целями сбора персональных данных);

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных (принимаются необходимые меры по удалению или уточнению неполных или неточных данных);

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных (обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию).

8. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9. Обработка персональных данных осуществляется Учреждением с соблюдением следующих условий:

1) персональные данные должны быть получены от субъекта персональных данных или его законного представителя;

2) для обработки персональных данных необходимо:
получение согласия каждого субъекта, персональные данные которого обрабатываются;

получение согласия на обработку специальных категорий персональных данных, в том числе сведений о состоянии здоровья субъекта персональных данных;

получение согласия на передачу (предоставление) персональных данных третьим лицам (согласие субъекта персональных данных на обработку его персональных данных не требуется в случае обработки персональных данных для достижения целей, предусмотренных законодательством Российской Федерации, а также при передаче (предоставлении) персональных данных в органы (организации), участвующие в предоставлении муниципальных (государственных) услуг в соответствии со статьей 7 Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»);

3) при передаче (предоставлении) персональных данных между Учреждением и сторонними операторами в рамках предоставления муниципальной (государственной) услуги все стороны применяют организационные и технические меры по обеспечению безопасности как переданных, так и полученных персональных данных;

4) передача (предоставление) персональных данных Учреждением стороннему оператору осуществляется на основании договора, обязательным условием которого является обеспечение безопасности персональных данных.

10. Трансграничная передача персональных данных не осуществляется.

Биометрические персональные данные Учреждением не обрабатываются Лица, получающие персональные данные субъектов, обязаны соблюдать режим секретности (конфиденциальности).

11. Защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается Учреждением за счет средств Учреждения, в порядке, установленном Трудовым кодексом РФ, иными федеральными законами.

12. В соответствии со статьей 8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Учреждение в целях информационного обеспечения вправе создавать общедоступные источники персональных данных на базе официального сайта Учреждения в информационно-коммуникационной сети Интернет (http://екатеринбург.рф, http://ekburg.ru), размещение персональных данных субъектов персональных данных допускается только с письменного согласия субъекта персональных данных.

13. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Глава 4. Правовые, организационные и технические меры по обеспечению безопасности обрабатываемых персональных данных

14. С целью обеспечения безопасности обрабатываемых персональных данных Учреждением принимаются следующие организационные меры:
назначается лицо, ответственное за организацию обработки персональных данных;

назначаются лица, ответственные за эксплуатацию информационных систем персональных данных;

создается комиссия по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных;

утверждается список сотрудников, доступ которых к персональным данным в информационных системах персональных данных необходим для выполнения служебных (трудовых) обязанностей (сотрудники должны быть ознакомлены с нормативными правовыми актами, правовыми актами Учреждения в области защиты персональных данных под роспись);

определяются помещения, в которых осуществляется обработка персональных данных, и правила доступа в них;

утверждается перечень персональных данных, подлежащих защите;
утверждаются правила рассмотрения запросов субъектов персональных данных или их представителей;

утверждаются правила работы с обезличенными данными (в случае обезличивания персональных данных Учреждением перед их обработкой);
утверждается перечень лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

утверждаются типовая форма согласия на обработку персональных данных сотрудников Учреждения, иных субъектов персональных данных, типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

обеспечивается выполнение требований по обработке персональных данных, осуществляемой без использования средств автоматизации.

Глава 5. Хранение, использование и уничтожение персональных данных

15. Персональные данные субъектов, перечисленных в пункте 6 настоящего Положения, могут храниться на бумажных и электронных носителях.

16. Доступ к электронным базам данных и информационным системам, содержащим персональные данные, обеспечивается системой паролей, функционирующей в соответствии с Инструкцией по организации парольной защиты, утвержденной приказом директора Учреждения.

17. Персональные данные при их неавтоматизированной обработке обособляются от иной информации, в частности, путем фиксации их на отдельных материальных (бумажных или электронных) носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).

18. Персональные данные субъектов, перечисленных в абзацах 1 пункта 6 настоящего Положения, хранятся и обрабатываются на следующих бумажных носителях:

Личная карточка работника Формы Т-2; Дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.

Трудовая книжка;

Акты расследований;

Справки 2НДФЛ;

Заявление работника об увольнении;

Копии документов об образовании; Согласие работника на обработку персональных данных;

Копии свидетельств о рождении Результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

Заявления о приеме на работу; Другие документы, нахождение которых в личном деле будет признано целесообразным;

Приказы о приеме на работу; Опись всех документов находящихся в деле;

Трудовой договор; Основания к приказам, приказы по личному составу;

Документы, связанные с переводом и перемещением работника; Больничные листы;

Приказы о поощрениях, взысканиях; Документы, содержащие сведения, необходимые для предоставления Работнику гарантий и компенсаций, установленных действующим законодательством:

документы о составе семьи; состоянии здоровья детей; беременности Сотрудницы; возрасте малолетних детей; подтверждающие дополнительные льготы, гарантии и компенсации по определенным основаниям, предусмотренным законодательством Российской Федерации.

19. Персональные данные субъектов, перечисленных в абзаце 2 пункта 6 настоящего Положения, хранятся и обрабатываются на электронных носителях, перечень электронных носителей приведен — в Таблице № 2.

Таблица № 2

Наименование носителя Тип данных

Опросный лист учета оказанных услуг Перечень персональных данных утвержден Приказом Учреждения об утверждении перечня персональных данных, обрабатываемых в информационных системах МБУ «Центр правозащиты»

20. Не допускается выдача бумажных носителей на рабочие места сотрудников или выдача на руки гражданам. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа. Документы, содержащие персональные данные субъектов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

21. Использование персональных данных субъектов Учреждением осуществляется для целей реализации трудовых отношений и оказания консультационных и методических услуг в муниципальном образовании «город Екатеринбург».

22. Персональные данные субъектов подлежат уничтожению по завершении сроков архивного хранения или сроков завершения оказания муниципальных услуг.

Глава 6. Передача персональных данных, доступ третьих лиц

24. При осуществлении передачи персональных данных третьим лицам Учреждение обязано:

не сообщать персональные данные без полученного письменного согласия субъекта, кроме случаев, когда такие обязанности установлены законодательством;

25. Персональные данные субъектов могут предоставляться только по запросу компетентных органов, имеющих соответствующие полномочия, в случаях, предусмотренных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

Глава 7. Ответственность за разглашение информации, связанной с персональными данными

26. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

27. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

28. Каждый сотрудник Учреждения, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

29. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

30. Лица, признанные виновными в нарушении положений настоящего Положения по защите персональных данных, привлекаются к дисциплинарной, административной, гражданско-правовой и уголовной ответственности в порядке, предусмотренном законодательством РФ и локальными нормативными актами.