Подведомственное учреждение Министерства социальной политики Нижегородской области

 Версия для слабовидящих

Политика в отношении обработки и защиты персональных данных

ГлавнаяДокументыПоложенияПолитика в отношении обработки и защиты персональных данных
ГлавнаяДокументыПоложенияПолитика в отношении обработки и защиты персональных данных

ПОЛИТИКА ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО УЧРЕЖДЕНИЯ «ЦЕНТР СОЦИАЛЬНОГО ОБСЛУЖИВАНИЯ ГРАЖДАН ПОЖИЛОГО ВОЗРАСТА И ИНВАЛИДОВ ГОРОДСКОГО ОКРУГА БОР»

В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ( с изменениями от 27.01.2020 г. приказ № 36)

1. Общие положения

1. Настоящий документ определяет политику Государственного бюджетного учреждения «Центр социального обслуживания граждан пожилого возраста и инвалидов городского округа города Бор» (далее – Учреждение) в отношении обработки и защиты персональных данных (далее – Политика) и действует в отношении всех персональных данных, обрабатываемых в Учреждении.

2. Настоящая Политика определяет категории персональных данных, обрабатываемых в Учреждении, категории субъектов, персональные данные которых обрабатываются в Учреждении, цели, принципы, механизм и условия обработки персональных данных, а также меры защиты персональных данных, направленные на обеспечение выполнения Учреждением как оператором персональных данных обязанностей, предусмотренных действующим законодательством.

3. Основные понятия, используемые в настоящем документе:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Основные права и обязанности оператора и субъекта (ов) персональных данных:

4.1. Основные права субъекта персональных данных:

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • обращение к Оператору и направление ему запросов;
  • обжалование действий или бездействия Оператора.

4.2. Обязанности Оператора.

Оператор обязан:

  • при сборе персональных данных предоставить информацию об обработке персональных данных;
  • в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
  • при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

5. Настоящая Политика не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с действующим законодательством об архивном деле в Российской Федерации.

6. Положения настоящей Политики являются обязательными для исполнения всеми сотрудниками Учреждения.

7. Положения настоящей Политики осуществляются самостоятельно Учреждением.

2. Цели обработки персональных данных

Обработка персональных данных в учреждении осуществляется в целях:

  • исполнения государственных функций, возложенных на Учреждение (предоставление социальных услуг  гражданам пенсионного возраста и инвалидам, рассмотрение обращений заявителей в соответствии с требованиями действующего законодательства, в том числе в рамках личного приема граждан; заключение и исполнение гражданско-правовых договоров между контрагентами и учреждением; обязательное опубликование или раскрытие персональных данных субъектов в соответствии с действующим законодательством; исполнение запросов федеральных ведомств);
  • реализации служебных и трудовых отношений (принятие решения о трудоустройстве граждан в Учреждение; исполнение требований трудового, налогового и пенсионного законодательства Российской Федерации; ведение бухгалтерского учета).

3. Правовые основания обработки персональных данных

Обработка персональных данных в учреждении осуществляется в соответствии с:

  • Конституцией Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Налоговым кодексом Российской Федерации;
  • Федеральный закон от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
  • Федеральным законом от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральным законом от 15 декабря 2001 года № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральным законом от 21 ноября 1996 года № 129-ФЗ «О бухгалтерском учете»;
  • Федеральным законом от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
  • Федеральным законом от 27 мая 2003 года № 58-ФЗ «О системе государственной гражданской службы Российской Федерации»;
  • Федеральным законом от 27 июля 2004 года № 79-ФЗ  «О государственной гражданской службе Российской Федерации»;
  • Законом Нижегородской области от 10 мая 2006 года № 40-З «О государственной гражданской службе Нижегородской области»;
  • Указом Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
  • Указом Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Указом Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
  • Федеральным законом от 28.12.2013 г. № 442 «Об основах социального обслуживания граждан в Российской Федерации»;
  • Законом Нижегородской области от 05.11.2014 г. № 146 «О социальном обслуживании граждан в Нижегородской области»;
  • постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказом ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказом Роскомнадзора от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденными ФСБ России 21 февраля 2008 года;
  • методическими рекомендациями по применению приказа Роскомнадзора от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных», утвержденными Роскомнадзором 13 декабря 2013 года;
  • правилами внутреннего трудового распорядка Учреждения;
  • иными федеральными нормативными правовыми и локальными актами, регулирующими процесс обработки и защиты персональных данных;
  • Уставом Учреждения;
  • договорами, заключаемыми между оператором и субъектом персональных данных.

4.Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Категории обрабатываемых персональных данных:

В учреждении обрабатываются персональные данные, которые не относятся в соответствии с действующим законодательством к специальным и биометрическим категориям персональных данных. Учреждение не обрабатывает персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной (частной) жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности. Обработка специальной категории персональных данных субъекта о состоянии его здоровья, относящихся к вопросу о возможности выполнения им трудовой функции, на основании положений Федерального закона № 152-ФЗ в рамках трудового законодательства и законодательства о социальном обслуживании граждан может осуществляться Учреждением.

4.2. Категории субъектов персональных данных:

Под субъектами, персональные данные которых обрабатываются в Учреждении, понимаются следующие категории:

       1) сотрудники Учреждения; бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

       2) практиканты (стажеры), проходящие или ранее проходившие практику (стажировку) в Учреждении;

       3) контрагенты, к которым относятся поставщики (исполнители, подрядчики), имеющие или ранее имевшие с учреждением договорные отношения;

       4) заявители, к которым относятся граждане, осуществляющие или ранее осуществлявшие обращение в учреждение, в том числе с целью личного приема;

      5) граждане- получатели социальных услуг в Учреждении.

5. Порядок и условия обработки персональных данных

В Учреждении осуществляется смешанная обработка персональных данных как с применением средств вычислительной техники, в информационных системах персональных данных, так и без использования средств автоматизации.

В учреждении не производится трансграничная передача персональных данных за исключением случаев защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных при невозможности получения от него согласия в письменной форме на такую передачу, и при условии, что субъект персональных данных является сотрудником учреждения. 

Обработка персональных данных осуществляется в учреждении с соблюдением следующих принципов:

  • обработка осуществляется на законной и справедливой основе;
  • обработка ограничивается достижением конкретных, заранее определенных и законных целей;
  • обрабатываются тот состав персональных данных и в том объеме, которые отвечают заявленным целям обработки;
  • обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается;
  • объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается;
  • при обработке персональных данных обеспечивается их точность, достаточность и в необходимых случаях актуальность по отношению к целям обработки, принимаются меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, с соблюдением законодательно определенных требований к обработке и защите персональных данных;
  • в случае отзыва субъектом согласия на обработку его персональных данных, а также по достижении целей их обработки или в случае подтверждения факта их неправомерной обработки учреждение прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению учреждения);
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки, истечению срока обработки, отзыва согласия субъекта персональных данных на обработку, при ликвидации учреждения или в случае утраты необходимости в обработке персональных данных, если иное не предусмотрено действующим законодательством;
  • если цели обработки персональных данных заведомо несовместимы и (или) обрабатываются различные категории персональных данных субъектов, то для их обработки используются отдельные материальные носители;
  • при принятии решений, затрагивающих интересы субъекта персональных данных, учреждение не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Лица, получившие от Учреждения доступ к персональным данным, обязаны обеспечить их конфиденциальность.

В Учреждении обрабатываются персональные данные субъекта с получением согласия на обработку в случаях, когда его получение в соответствии с действующим законодательством является обязательным условием обработки. Согласие субъекта может быть дано им или его законным представителем (наследником) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом № 152-ФЗ. С учетом положений действующего законодательства согласие может быть дано в письменной либо электронной форме, оформлено как в виде отдельного документа, так и закреплено в тексте договора (контракта), если это применимо и ничему не противоречит. В случае отзыва согласия на обработку персональных данных учреждение вправе продолжить их обработку без согласия только при наличии оснований, определенных действующим законодательством.

Учреждение несет обязанность предоставить доказательство получения согласия на обработку персональных данных или доказательство наличия законодательно определенных оснований, когда такое согласие не требуется.

Учреждение при обработке и защите персональных данных соблюдает законодательно установленные права субъектов персональных данных, а также разъясняет им порядок защиты их прав и законных интересов, и предоставляет возможность заявить возражения. Сведения о предоставляются субъекту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам.

Все сотрудники Учреждения знакомятся под роспись с локальными актами, устанавливающими правила обработки персональных данных, а также об их правах и обязанностях в этой области.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
  • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

7. Ответственность за нарушение положений настоящей Политики

Учреждение и должностные лица Учреждения, участвующие в обработке персональных данных субъектов, в соответствии с действующим законодательством Российской Федерации несут ответственность за несоблюдение положений настоящей Политики и действующего законодательства в сфере обработки персональных данных.


Скачать графическую версию положения

Нажмите, чтобы прослушать выделенный текст