ПОЛИТИКА Муниципального бюджетного учреждения «Расчетно-кассовый центр» в отношении обработки персональных данных
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее – Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает муниципальное бюджетное учреждение «Расчетно-кассовый центр».
1.2. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».
1.3. Настоящая Политика обязательна для исполнения всеми сотрудниками МБУ «РКЦ», описывает основные цели, принципы обработки и требования к безопасности персональных данных в МБУ «РКЦ».
1.4. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных» и является общедоступным документом.
1.5. Настоящая политика в области обработки и защиты персональных данных в МБУ «РКЦ» характеризуется следующими признаками:
— разработана в целях обеспечения реализации требований законодательства РФ в области обработки и защиты персональных данных субъектов персональных данных;
— раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки оператором персональных данных, права и обязанности оператора при обработке персональных данных, права субъектов персональных данных, а также включает в себя перечень мер, применяемых оператором в целях обеспечения безопасности персональных данных при их обработке.
1.6. В настоящей Политике используются следующие термины и определения:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) информация – сведения (сообщения, данные) независимо от формы их предоставления;
6) доступ к информации – возможность получения информации, и её использование;
7) несанкционированный доступ (НСД) – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации, а также доступ к этой информации лицом, имеющим право на доступ к этой информации в объеме, превышающем необходимый для выполнения служебных обязанностей;
8) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
9) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
10) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
11) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
12) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
13) информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
14) ответственное лицо за организацию обработки персональных данных – должностное лицо, которое назначено приказом директора, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки персональных данных в учреждении в соответствии с положениями законодательства РФ в области персональных данных.
1.7. Действие настоящей Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.
2. Правовые основания и цели обработки персональных данных
2.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Федеральный закон РФ от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
— Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
— Приказ Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных».
2.2. Во исполнение настоящей Политики руководителем Оператора утверждаются следующие локальные правовые акты:
— Приказ о назначении ответственного лица за организацию обработки персональных данных;
— Приказ об организации работ по обеспечению безопасности персональных данных;
— перечень обрабатываемых персональных данных;
— перечень должностей, замещение которых предусматривает осуществление обработки персональных данных;
— правила рассмотрения запросов субъектов персональных данных или их представителей;
— правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
— типовое обязательство работника Оператора, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением трудовых обязанностей;
— типовая форма согласия на обработку персональных данных работника Оператора, иных субъектов персональных данных;
— типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
2.3. Персональные данные собираются и обрабатываются в МБУ «РКЦ» исключительно на законных основаниях, с согласия субъектов персональных данных, в целях обеспечения реализации предусмотренных законодательством Российской Федерации полномочий городского округа «Город Лесной» в сфере: предоставления компенсаций расходов на оплату жилого помещения и коммунальных услуг отдельным категориям граждан; предоставления субсидий на оплату жилого помещения и коммунальных услуг; оказания гарантированного перечня услуг по погребению; работы с населением присоединенных территорий; учета личных подсобных хозяйств; предоставления мер социальной поддержки, установленных нормативными актами Свердловской области и нормативными актами органов местного самоуправления; оказания услуг в сфере жилищно-коммунального хозяйства по начислению, сбору и учету платежей населения; организации работы по регистрации граждан в жилых помещениях по месту жительства и месту пребывания; выполнение договорных обязательств, работы с обращениями граждан, а также в целях необходимых МБУ «РКЦ» как работодателю в связи с трудовыми отношениями.
3. Обрабатываемые категории персональных данных и источники их поступления
В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:
1) Персональные данные субъектов ПДн, при обращении за государственной или муниципальной услугой:
— Фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества в случае их изменения, причина изменения);
— Дата и место рождения;
— Адрес проживания;
— Семейное положение;
— Социальное положение;
— Имущественное положение;
— Доходы;
— Паспортные данные;
— Данные ИНН;
— Данные Пенсионного страхового свидетельства;
— Сведения о рождении детей, о заключении/расторжении брака;
— Место работы;
— Должность;
— Телефоны домашний и сотовый;
— Сведения о трудовой деятельности;
— Фотография (без цели идентификации субъекта).
2) Персональные данные работников Оператора, в том числе родственников работника:
— Фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества в случае их изменения, причина изменения);
— Паспортные данные;
— Дата и место рождения;
— Адрес проживания;
— Семейное положение;
— Образование, профессия, специальность;
— Данные ИНН;
— Данные Пенсионного страхового свидетельства;
— Данные медицинских полисов;
— Сведения о рождении детей, о заключении/расторжении брака;
— Данные о воинском учете;
— Место работы, должность;
— Телефоны домашний и сотовый;
— Сведения о трудовой деятельности, о предыдущем месте работы, занимаемой должности;
— Сведения о заработной плате сотрудника;
— Сведения о социальных льготах;
— Наличие судимости;
— Содержание трудового договора;
— Основания, подлинники и копии приказов по личному составу;
— Личные дела и трудовые книжки сотрудников;
— Копии документов, содержащие сведения о повышении квалификации и переподготовке сотрудников, их аттестации, служебные расследования и принятые по ним решения;
— Результаты медицинских обследований о пригодности к осуществлению трудовой деятельности;
— Фотография (без цели идентификации).
3)Персональные данные кандидатов на замещение вакантных должностей МБУ «РКЦ».
Предоставляя свои персональные данные МБУ «РКЦ» субъект персональных данных подтверждает свое согласие на их обработку любым способом в целях, в порядке и объёме, установленных действующим законодательством Российской Федерации.
4. Источники получения персональных данных
Получение сведений о персональных данных осуществляется на основании документов и информации, представленных лично работниками Оператора в процессе трудовых отношений, а также граждан, обратившихся к Оператору в установленном порядке.
5. Основные принципы обработки, передачи и хранения персональных данных
5.1 Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
— Обработка персональных данных должна осуществляться на законной и справедливой основе.
— Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
— Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
— Обработке подлежат только персональные данные, которые отвечают целям их обработки.
— Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
— При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
— Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2 Оператор не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
5.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
5.4. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных).
6. Сведения о лицах, осуществляющих обработку персональных данных
6.1. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
— Администрации городского округа «Город Лесной»;
— Межрайонной инспекции Федеральной налоговой службы России № 27 по Свердловской области;
— Управлению пенсионного фонда России города Лесной Свердловской области;
— Фонду социального страхования;
— Негосударственным пенсионным фондам;
— Государственному казенному учреждению «Центр занятости населения города Лесной Свердловской области»;
— Территориальному отраслевому исполнительному органу государственной власти Свердловской области – Управлению социальной политики Министерства социальной политики Свердловской области по г. Лесному (Управление социальной политики по городу Лесному);
— Государственному бюджетному учреждению социального обслуживания населения Свердловской области «Комплексный центр социального обслуживания населения» (ГБУ «КЦСОН г. Лесного»);
— ФГБУЗ «Центральная медико-санитарная часть №91» ФМБА г. Лесной;
— Лесному Почтамту УФПС Свердловской области — филиалу ФГУП «Почта России»;
— Государственной инспекции труда Свердловской области;
— Кредитным организациям;
— Организациям, осуществляющим управление многоквартирными домами г. Лесного;
— Региональному фонду содействия капитальному ремонту общего имущества в многоквартирных домах Свердловской области;
— Представительным органам государственной власти, в том числе контролирующим, надзорным органам;
— Отделу военного комиссариата городов Качканар, Лесной и Нижняя Тура, Верхотурского уезда Свердловской области;
— правоохранительным органам (суды общей юрисдикции, арбитражные суды, Конституционный суд, прокуратура, следственный комитет при прокуратуре, Федеральная миграционная служба, Федеральная служба безопасности, Федеральная таможенная служба, Федеральная служба судебных приставов, органы внутренних дел).
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
7. Меры по обеспечению безопасности персональных данных при их обработке
7.1 В целях защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных МБУ «РКЦ» разрабатывает необходимые правовые, организационные и технические меры, обеспечивает их принятие.
Перечень основных проводимых мероприятий по защите информации в МБУ «РКЦ» включает в себя:
— назначение ответственного лица за организацию обработки персональных данных;
— ограничение и регламентация состава работников, имеющих доступ к персональным данным;
— разработка, введение в действие и обеспечение исполнения локальных нормативных актов, регламентирующих работу с персональными данными, в том числе определяющими условия и порядок доступа к информационным системам персональных данных, а также соблюдение требований конфиденциальности персональных данных, с которыми работников МБУ «РКЦ» знакомят под роспись;
— обеспечение необходимыми средствами защиты рабочих мест, мест хранения носителей информации и помещений, в соответствии с установленными требованиями, обеспечивающими ограничение доступа к персональным данным, их уничтожению, блокированию, изменению, копированию и распространению;
— обеспечение ограничения, разграничения и непрерывного контроля доступа должностных лиц к данным, носителям информации, помещениям и средствам обработки;
— реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
— парольная защита доступа пользователей к информационной системе персональных данных;
— осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
— централизованное управление системой защиты персональных данных;
— резервное копирование информации;
— обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
— применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
— поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности;
— осуществление внутреннего контроля соответствия обработки персональных данных ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
— ознакомление пользователей оператора, непосредственно осуществляющих обработку персональных данных с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и (или) обучением указанных сотрудников;
— определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных, оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
— учет машинных носителей персональных данных;
— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
— установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
МБУ «РКЦ» несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.
8. Права субъектов персональных данных
8.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
8.2 Субъект персональных данных вправе требовать от Оператора уточнения, обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
— обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
— обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
— обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
— доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
— обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
8.4 Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
8.5 Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. Сроки обработки (хранения) персональных данных
9.1 Течение срока обработки персональных данных начинается с момента их получения Оператором.
9.2 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.
9.3 Персональные данные работников Оператора, в том числе родственников работника, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).
9.4 Персональные данные граждан, обратившихся к Оператору в установленном порядке, хранятся в делах структурных подразделений Оператора в течение срока, определённого законодательством и номенклатурой дел Оператора.
10. Уточнение, блокирование и уничтожение персональных данных
10.1 Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.
10.2 Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
10.3 Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.
10.4 Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
10.5 Уничтожение персональных данных осуществляется Оператором:
— по достижении цели обработки персональных данных;
— в случае утраты необходимости в достижении целей обработки персональных данных;
— в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;
— по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения администрацией района неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
10.6 При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.
10.7 В случае выявления неправомерной обработки персональных данных, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
10.8 В случае достижения цели обработки персональных данных либо отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
10.9 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.п. 10.7 и 10.8 политики, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
11. Заключительные положения
11.1 Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению на официальном сайте Оператора.
11.2 Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не чаще одного раза в три года.
11.3 Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных.
11.4 Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.