Положение об обработке и защите персональных данных в Государственном казенном учреждение социальной защиты Республики Карелия «Центр социальной работы Прионежского района»

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных (далее - Положение) имеет своей целью закрепление механизмов обеспечения прав граждан и работников Государственного казенного учреждения социальной защиты Республики Карелия «Центр социальной работы Прионежского района» (далее - Субъект) на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах их жизни.

1.2. Настоящее Положение определяет порядок сбора, хранения, передачи и любого другого использования персональных данных Субъектов в Государственном казенном учреждение социальной защиты Республики Карелия «Центр социальной работы Прионежского района» (далее - Центр) в соответствии с законодательством Российской Федерации и гарантии конфиденциальности предоставленных сведений о Субъекте.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.4. Оператором персональных данных (далее - Оператор) является Центр.

1.5. Настоящее Положение не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2. Основные понятия

2.1. В Положении применяются понятия в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", а также:

- защита персональных данных - защита от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- матрица доступа - таблица, отображающая правила разграничения доступа пользователей к ресурсам информационной системы;

- материальные носители информации - бумага или электронные съемные носители (жесткие диски, CD\DVD, Flash-память);

- представитель Субъекта - физическое лицо, обладающее законным правом представлять Субъекта в случае его недееспособности, несовершеннолетия или в иных установленных федеральными законами случаях;

- информационная система персональных данных (далее – ИСПДн)- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.2. На территории  Субъекта обрабатываются персональные данные:

2.2.1. граждан:

  • фамилия, имя, отчество;

  • дата и место рождения;

  • сведения о гражданстве;

  • паспортные данные;

  • данные свидетельства о рождении;

  • сведения о составе семьи;

  • сведения о состоянии здоровья, наличии инвалидности;

  • номер телефона;

  • информация о трудовой деятельности;

  • сведения о социальных льготах и гарантиях;

  • адрес регистрации и адрес места жительства;

  • информация об образовании;

  • информация о семейном положении;

  • информация об идентификационном номере налогоплательщика;

  • номера расчетных счетов и наименования банков;

  • другие, предусмотренные законодательством Российской Федерации персональные данные;

2.2.2. работников Центра:

  • фамилия, имя, отчество;

  • дата и место рождения;

  • адрес регистрации и адрес места жительства;

  • сведения о гражданстве;

  • паспортные данные;

  • номер телефона, контактная информация;

  • информация о трудовой деятельности;

  • сведения о зарплате и доходах;

  • сведения о составе семьи;

  • социальное положение;

  • образование, дополнительное образование;

  • подразделение, должность;

  • сведения об аттестации;

  • стаж работы;

  • награды, взыскания;

  • сведения о переподготовке и повышении квалификации, о подготовке за границей;

  • другие, предусмотренные законодательством Российской Федерации персональные данные.

3. Порядок обработки персональных данных

3.1. Общие требования при обработке персональных данных:

3.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе в целях обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

3.1.2. При обработке персональных данных должны быть обеспечены их точность, достаточность и в необходимых случаях актуальность по отношению к целям обработки.

3.1.3. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда Субъекту, затруднения реализации прав и свобод Субъекта. При принятии решений, затрагивающих интересы Субъекта, порождающих юридические последствия, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения, если иное не предусмотрено федеральным законом.

3.1.4. Руководители и специалисты Центра должны быть ознакомлены под расписку с документами Оператора, устанавливающими порядок обработки персональных данных Субъектов, а также их права и обязанности в этой области.

3.1.5. Правила обработки и использования персональных данных, включая сроки хранения содержащих персональные данные оригиналов документов или копий документов на материальных носителях информации и в ИСПДн, устанавливаются правовыми актами Оператора, а также нормативными правовыми актами Российской Федерации.

3.1.6. Персональные данные защищаются принятием или обеспечением правовых, организационных и технических мер в соответствии с нормативными правовыми актами Российской Федерации, рекомендациями регулирующих органов в области защиты информации, а также утвержденными правовыми актами Оператора.

3.2. Порядок получения персональных данных:

3.2.1. Все персональные данные следует получать непосредственно от Субъекта или его представителя. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

3.2.2. Согласие на обработку персональных данных может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

3.2.3. Письменное согласие Субъекта на обработку персональных данных требуется при их включении в общедоступные источники персональных данных, а также в иных случаях, установленных федеральным законом. Примерная форма заявления - согласия Субъекта на обработку персональных данных представлена в приложениях № 1 и № 2 к настоящему Положению.

3.2.4. Согласие Субъекта не требуется, если обработка персональных данных осуществляется в целях, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, необходима для предоставления государственной или муниципальной услуги, для обеспечения предоставления такой услуги на едином портале государственных и муниципальных услуг, а также в иных предусмотренных федеральными законами случаях.

3.2.5. Согласие на обработку персональных данных может быть отозвано Субъектом или его представителем. Форма отзыва согласия на обработку персональных данных Субъекта (представителя) представлена в приложениях № 3 и № 4 к настоящему Положению.

3.2.6. В случае отзыва Субъектом персональных данных или его представителем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта или его представителя в предусмотренных федеральным законом случаях.

3.2.7. Оператор может получить необходимые персональные данные Субъекта у третьей стороны только с согласия Субъекта или его представителя на обработку его персональных данных или без согласия в случаях, указанных в пункте 3.2.4 настоящего Положения. Форма согласия на получение персональных данных у третьей стороны представлена в приложении №5 к настоящему Положению.

3.2.8. Запрещается получать и обрабатывать персональные данные Субъекта о его политических, религиозных, философских убеждениях, интимной жизни, расовой, национальной принадлежности, состоянии здоровья, за исключением случаев, предусмотренных федеральными законами.

3.2.9. Согласие Субъекта, являющегося работником Центра, на обработку его персональных данных Оператором осуществляется в письменной форме, приведенной в приложении №6 к настоящему Положению.

3.3. Порядок хранения персональных данных:

3.3.1. Хранение персональных данных Субъектов может осуществляться на учтенных электронных носителях информации на серверах и компьютерах, входящих в состав локальной вычислительной сети Центра, бумажных носителях информации, с соблюдением предусмотренных нормативными правовыми актами Российской Федерации правовых, организационных и технических мер по защите персональных данных.

3.3.2. Хранение персональных данных Субъектов должно осуществляться в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект.

3.4. Порядок передачи персональных данных:

3.4.1. Оператор обязан не раскрывать и не распространять персональные данные Субъекта третьей стороне без согласия Субъекта или его представителя, за исключением случаев, предусмотренных федеральными законами. Форма заявления - согласия Субъекта (представителя) на передачу его персональных данных третьей стороне содержится в приложении №7 настоящего Положения.

3.4.2. Передача персональных данных, в том числе с использованием электронной почты и информационно-телекоммуникационной сети Интернет, должна осуществляться с применением необходимых и достаточных мер по их защите (конфиденциальности). Перечень мер, направленных на обеспечение защиты персональных данных, определяется нормативными правовыми актами Российской Федерации и организационно-распорядительными документами Центра.

3.5. Порядок доступа к персональным данным:

3.5.1. Доступ к обрабатываемым Оператором персональным данным в ИСПДн могут иметь:

- непосредственный руководитель структурного подразделения, в котором обрабатываются персональные данные, в целях их обработки и/или контроля за их обработкой;

- администраторы ИСПДн, назначаемые приказами Центра  для каждой ИСПДн, в целях обеспечения обработки персональных данных и в рамках исполнения своих должностных обязанностей;

- администратор безопасности информации, назначаемый приказом Центра, в целях обеспечения безопасности персональных данных и в рамках исполнения своих должностных обязанностей;

- пользователи ИСПДн, назначаемые приказом Центра для каждой ИСПДн и осуществляющие обработку персональных данных в целях исполнения своих должностных обязанностей;

- специалист по технической защите информации Центра в целях исполнения своих должностных обязанностей;

- Субъект или его представитель, в целях реализации прав на доступ к персональным данным Субъекта, предусмотренных федеральным законом.

3.5.2. Доступ к обрабатываемым Оператором персональным данным вне ИСПДн могут иметь руководители и специалисты Центра в целях исполнения своих должностных обязанностей и/или назначенные приказами Центра.

3.5.3. Организационно-распорядительные документы Центра, содержащие информацию о предоставлении доступа к персональным данным в ИСПДн для руководителей и специалистов Центра, должны включать в себя информацию:

- об основании и цели обработки персональных данных;

- о правах доступа (чтение, запись, модификация) и о перечне ресурсов ИСПДн, к которым предоставлен доступ (матрица доступа);

- о назначении ответственного за обработку персональных данных;

- о назначении администратора ИСПДн.

3.5.4. Все специалисты структурных подразделений Центра, имеющие доступ к персональным данным Субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных Субъекта представлена в приложении №8 настоящего Положения.

3.5.5. В Договорах/соглашениях с юридическими и физическими лицами, которые получают в рамках исполнения договора/соглашения доступ к персональным данным, обрабатываемых Центром, должны быть указаны требования соблюдения этими лицами конфиденциальности персональных данных.

3.5.6. Доступ Субъекта или его представителя к персональным данным Субъекта обеспечивается Оператором при личном обращении Субъекта или его представителя либо при получении запроса Субъекта или его представителя в письменной форме или электронной форме, подписанной электронной подписью в соответствии с законодательством Российской Федерации. При личном обращении Субъект или его представитель обязан предоставить документ, удостоверяющий личность. В запросе Субъект или его представитель обязан указать номер основного документа, удостоверяющего личность Субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта или его представителя в отношениях с Оператором, и иные сведения, предусмотренные федеральным законом.

3.6. Уничтожение персональных данных:

3.6.1. Персональные данные Субъектов хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных случаях, определенных федеральными законами.

3.6.2. Документы на бумажных носителях, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством Российской Федерации.

3.6.3. Порядок уничтожения персональных данных, находящихся на материальных носителях, а также в ИСПДн, определяется нормативно-правовыми актами Центра.

4. Права и обязанности Субъектов персональных данных и Оператора

4.1. Права и обязанности Субъектов и Оператора определяются в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".

4.2. Для защиты персональных данных Субъектов Оператор обязан:

- за свой счет обеспечить правовую, организационную и техническую защиту персональных данных Субъекта от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

- назначить лицо, ответственное за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением Оператором законодательства Российской Федерации о персональных данных;

- ознакомить руководителей и специалистов Центра с настоящим Положением под роспись;

- осуществлять передачу персональных данных Субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

- предоставлять персональные данные Субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации;

- обеспечить безвозмездно и в доступной форме ознакомление Субъекта или его представителя с информацией, касающейся обработки персональных данных Субъекта, включая доступ к персональным данным Субъекта, с правовым основанием и целью обработки персональных данных, сроками обработки и хранения, а также с иной информацией, предусмотренной федеральным законом;

- по требованию Субъекта или его представителя, в установленный федеральным законом срок, уточнить, заблокировать или уничтожить персональные данные Субъекта, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- разъяснить Субъекту или его представителю, если предоставление персональных данных является обязательным в соответствии с федеральным законом, юридические последствия отказа предоставления его персональных данных;

- до начала обработки персональных данных, полученных не от Субъекта (представителя), предоставить Субъекту информацию об обработке персональных данных Субъекта, предусмотренную федеральным законом.

4.3. Оператор не вправе без письменного согласия Субъекта или его представителя передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.4. Руководители отраслевых и структурных подразделений Центра обязаны обеспечить защиту персональных данных, обрабатываемых в своих подразделениях.

5. Контроль и надзор за обработкой персональных данных

5.1. Уполномоченным органом по защите прав Субъектов, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

5.2. Уполномоченным органом в области обеспечения безопасности информации, противодействия техническим разведкам и технической защиты информации, включая персональные данные, является Федеральная служба по техническому и экспортному контролю России.

5.3. Уполномоченным органом в области обеспечения безопасности информации, передаваемой с помощью криптографических средств защиты информации, является Федеральная служба безопасности России.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Руководители отраслевых и структурных подразделений Центра несут персональную ответственность за защиту персональных данных в своих подразделениях.

6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.