Положение об обработке и защите персональных данных клиентов, проживающих в государственном бюджетном учреждении «Чкаловский дом-интернат для престарелых и инвалидов»
1.Основные понятия
Для целей настоящего Положения используются следующие основные понятия:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Безопасность персональных данных – состояние защищённости персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке в информационных системах персональных данных;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Общие положения
2.1. Цель разработки настоящего Положения - обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
2.2. Положение разработано в соответствии со следующими нормативно-правовыми документами Российской Федерации:
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Кодекс об Административных Правонарушениях Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Уголовный кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года №188;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15 сентября 2008 года №687;
- Требования к защите персональных данных при их обработке в информационных систем персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119.
2.3. Положение устанавливает порядок обработки персональных данных субъектов Государственного бюджетного учреждения «Чкаловский дом-интернат для престарелых и инвалидов» (далее – Учреждение).
Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:
- Сбор, хранение, уточнение (обновление, изменение);
- Систематизацию, накопление;
- Использование, распространение, передачу;
- Обезличивание, блокирование, уничтожение.
2.4. Положение определяет необходимый минимальный объем мер, соблюдение которых позволяет предотвратить утечку сведений, относящихся к персональным данным. При необходимости могут быть введены дополнительные меры, направленные на усиление защиты персональных данных.
2.5. Деятельность по организации обработки и защиты персональных данных в соответствии с требованиями законодательства Российской Федерации о персональных данных осуществляет сотрудник Учреждения, ответственный за организацию обработки персональных данных Учреждения.
Деятельность по администрированию средств и механизмов защиты осуществляет сотрудник Учреждения, назначенный администратором информационной безопасности Учреждения.
Техническое обслуживание информационных систем персональных данных осуществляет сотрудник Учреждения, назначенный ответственным за техническое обслуживание информационных систем персональных данных Учреждения.
Ответственный за организацию обработки персональных данных, администратор информационной безопасности и ответственный за техническое обслуживание информационных систем персональных данных назначаются приказом директора ГБУ «Чкаловский дом-интернат».
2.6. На основании договора Учреждение может поручать обработку персональных данных третьим лицам. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Учреждения, должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
2.7. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, Учреждение вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия.
2.8. Учреждение не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством.
2.9. Настоящее Положение вступает в силу с момента его утверждения и действует до замены его новым Положением.
2.10. Все изменения в Положение вносятся приказом директора ГБУ «Чкаловский дом-интернат».
3. Цель и содержание обработки персональных данных
3.1. Целями обработки персональных данных являются:
- Социальное обслуживание в стационарной форме получателей социальных услуг;
- Организация учёта сотрудников ГБУ «Чкаловский дом-интернат» для обеспечения соблюдения действующего законодательства, содействия в трудоустройстве, обучении, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: федеральным законом «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996г. №27-ФЗ, федеральным законом «О персональных данных» от 27.07.2006г. №152-ФЗ, а также локальными нормативными актами ГБУ «Чкаловский дом-интернат».
3.2. Цель «социальное обслуживание в стационарной форме получателей социальных услуг» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
- Граждане, поступившие в Учреждение на социальное обслуживание в стационарной форме: фамилия, имя, отчество, контактные сведения, адрес, год рождения, дата рождения, место рождения, паспортные данные, гражданство, семейное положение, состав семьи, степень родства, социальное положение, доходы, профессия, трудоспособность, СНИЛС, состояние здоровья.
3.3. Цель «обработка в соответствии с трудовым законодательством» достигается посредством обработки персональных данных следующих субъектов:
- Субъекты, направившие резюме: фамилия, имя, отчество, место рождения, трудоспособность, профессия, образование, дата рождения, контактные сведения, информация о трудовой деятельности, адрес, год рождения.
- Сотрудники Учреждения: место рождения, состав семьи, трудоспособность, семейное положение, профессия, фамилия, имя, отчество, образование, дата рождения, сведения о воинском учете, контактные сведения, информация о трудовой деятельности, гражданство, паспортные данные, социальное положение, адрес, доходы, год рождения, имущественное положение.
- Ближайшие родственники сотрудника: фамилия, имя, отчество, степень родства, год рождения.
- Уволенные (уволившиеся) сотрудники: место рождения, состав семьи, трудоспособность, семейное положение, профессия, фамилия, имя, отчество, образование, дата рождения, сведения о воинском учете, контактные сведения, информация о трудовой деятельности, гражданство, паспортные данные, социальное положение, адрес, доходы, год рождения, имущественное положение.
3.4. В Учреждении предусмотрены следующие формы фиксации персональных данных:
- Граждане, поступившие на социальное обслуживание в стационарной форме: договор на предоставление социальных услуг в стационарной форме.
- Сотрудники: документы личного дела сотрудников.
- Субъекты, направившие резюме: резюме кандидатов на работу.
- Уволенные (уволившиеся) сотрудники: документы личного дела сотрудников.
4. Порядок обработки персональных данных
4.1. Все персональные данные субъектов Учреждения получает от них самих либо от их законных представителей.
4.2. Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных, кроме случаев, предусмотренных Федеральным законом №152-ФЗ (Приложение №1, 2).
4.3. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
4.4. Получение персональных данных субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия (Приложение №3).
4.5. Персональные данные субъектов Учреждения обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.
4.6. Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с утвержденным перечнем лиц, уполномоченных на обработку персональных данных без использования средств автоматизации.
4.7. Доступ к персональным данным, обрабатываемым в информационных системах персональных данных (далее – ИСПДн), осуществляется в соответствии перечнем лиц, уполномоченных на работу в ИСПДн.
4.8. Уполномоченные лица, допущенные к персональным данным субъектов Учреждения, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.
4.9. С уполномоченными лицами, допущенными к персональным данным субъектов Учреждения, оформляется обязательство о неразглашении персональных данных в форме, представленной в Приложении №4.
4.10. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Персональные данные при такой их обработке, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
4.11. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели их обработки.
4.12. Хранение материальных носителей персональных данных в ГБУ «Чкаловский дом-интернат» осуществляется в специальном сейфе, находящемся в кабинете специалиста по кадрам.
4.13. Рабочие места, оборудованные информационными системами, обрабатывающими персональные данные, располагаются в кабинете бухгалтеров. На персональных компьютерах бухгалтеров устанавливаются пароли на вход в систему.
4.14. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Учреждение вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.
4.15. Обработка биометрических персональных данных (фотография, используемая для идентификации), в соответствии со статьей 11 Федерального закона № 152-ФЗ, допускается при наличии согласия субъекта (Приложение №5).
4.16. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
5. Организация уничтожения персональных данных
5.1. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
5.2. Персональные данные подлежат уничтожению либо обезличиванию в следующих случаях:
- Достижения целей обработки или в случае утраты необходимости в их достижении (ч. 4 ст. 21 Федерального закона №152-ФЗ).
- Отзыва согласия субъекта персональных данных на обработку персональных данных (ч. 5 ст. 21 Федерального закона №152-ФЗ).
- Представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14, ч.3 ст. 20 Федерального закона №152-ФЗ);
- Выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных (ч. 3 ст. 21 Федерального закона №152-ФЗ).
5.3. Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами Российской Федерации.
5.4. Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта персональных данных на обработку персональных данных, согласно форме, предлагаемой в Приложении №6 к настоящему положению.
При отсутствии возможности уничтожить персональные данные в 30-дневный срок ответственное за обработку персональных данных лицо обязано их блокировать и обеспечить уничтожение в срок не более чем через шесть месяцев, если иной срок не установлен федеральными законами. При этом издается акт, фиксирующий причины, по которым отсутствует возможность уничтожить персональные данные в установленный законом срок.
5.5. Уничтожение персональных данных осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
5.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных уничтожение персональных данных осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до руководства. Учреждение уведомляет субъекта персональных данных или его законного представителя об уничтожении персональных данных.
5.7. Решение об уничтожении персональных данных принимается комиссией по уничтожению персональных данных (далее – Комиссия).
Основной функцией Комиссии является организация и проведения отбора и подготовки документов, электронных носителей к передаче на уничтожение.
Комиссия производит отбор персональных данных, подлежащих уничтожению, и включает их в Акт уничтожения персональных данных, согласно форме, приведенной в Приложении №7. Акт уничтожения персональных данных утверждается директором Учреждения.
После этого документы (электронные носители), перечисленные в Акте, отделяются от остальных дел и хранятся в специально отведенном месте до уничтожения. Приготовленные к уничтожению персональные данные (их носители), передаются на переработку специализированной организации или уничтожаются в Учреждении.
Использование персональных данных, включенных в Акт уничтожения, запрещено.
5.8. В зависимости от типа носителя информации (бумажный или электронный) выделяют два способа уничтожения персональных данных:
- физическое уничтожения носителя;
- уничтожение информации с носителя.
5.8.1. Физическое уничтожение носителя.
Бумажный носитель: используются 2 вида уничтожения – уничтожение через шредирование (измельчение или гидрообработка) и уничтожение через термическую обработку (сжигание).
Электронный носитель: уничтожение заключается в таком воздействии на рабочие слои дисков, в результате, которого разрушается физическая, магнитная или химическая структура рабочего слоя: механическое разрушение дисков (прессование, механическое эрозирование поверхности – пескоструй, ультразвуковое и электромеханическое эрозирование), химическое травление в агрессивных средах и обжиг или переплавка дисков. Съём данных с магнитных дисков, подвергшихся таким воздействиям, становится невозможным.
5.8.2. Уничтожение информации с носителя.
Алгоритм уничтожения персональных данных основывается на многократной перезаписи в секторах магнитного диска. С физической точки зрения, они основываются на многократном перемагничивании материала записывающей поверхности диска.
Алгоритмы национальных стандартов предусматривают запись в каждый байт каждого сектора жесткого диска единиц, случайных чисел, а также чисел, дополнительных к записанным на предыдущем проходе. Предполагается несколько перезаписей для одного материального носителя.
Стандарты уничтожения данных:
- ГОСТ Р 50739-95;
- DoD 5220.22-М; NAVSO P-5239-26 (RLL);
- NAVSO P-5239-26 (MFM);
- VSITR.
При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.9. При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия Учреждения должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.
5.10. Уничтожение полей баз данных Учреждения, содержащих персональные данные субъекта, выполняются в случаях, установленных в пункте 5.2. по заявке руководителя структурного подразделения, обрабатывающего персональные данные субъекта и установившего необходимость их уничтожения.
5.11. Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт согласно форме, представленной в Приложении №8 настоящего Положения. Акт уничтожения полей баз данных, содержащих персональные данные субъектов Учреждения, согласовывается ответственным лицом за информационную безопасность и техническое обслуживание информационных систем персональных данных, и утверждается директором Учреждения.
5.12. Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.
5.13. При отсутствии техническое возможности осуществить уничтожение персональных данных, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта персональных данных была не возможна.
5.14. Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных.
6. Правила работы с обезличенными данными
6.1. Порядок обезличивания включает в себя замену идентифицирующей информации о субъекте (например, фамилию, имя и отчество) на произвольный код (далее – идентификатор).
6.2. Обезличивание должно проводится таким образом, чтобы определить принадлежность персональных данных конкретному субъекту персональных данных было невозможно без использования дополнительной информации.
6.3. В случае, если обезличенные персональные данные используются в статистических или иных исследовательских целях, сроки обработки и хранения персональных данных устанавливаются руководством Учреждения исходя из служебной необходимости, и получение согласия субъекта на обработку его персональных данных не требуется на основании пункта 9 части 1 статьи 6 Федерального закона №152-ФЗ.
6.4. Если обезличенные персональные данные используются в целях продвижения товаров, работ, услуг на рынке, или в целях политической агитации, Учреждение обязано получить согласие субъекта персональных данных на подобную обработку.
6.5. Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности обезличенных персональных данных в информационных системах и целесообразность их применения определяются ответственным за организацию обработки персональных данных Учреждения индивидуально для каждой информационной системы персональных данных.
7. Передача персональных данных третьим лицам
7.1. При обработке персональных данных субъекта должны соблюдаться следующие требования:
- Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта;
- Предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.
8. Права субъектов персональных данных
8.1. В целях обеспечения своих интересов субъекты имеют право:
- Получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
- Осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом №152-ФЗ.
- Требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона №152-ФЗ. Субъект при отказе Учреждения исключить или исправить персональные данные субъекта имеет право заявлять в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения.
- Требовать от Учреждения уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях их них;
- Обжаловать в суд любые неправомерные действия или бездействие Учреждения при обработке и защите персональных данных субъекта.
9. Порядок обработки обращений и запросов субъектов
9.1. При обращении либо письменном запросе субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Учреждение руководствуется требованиями статей 14, 18 и 20 Федерального закона №152-ФЗ;
9.2. Доступ субъекта персональных данных или его законного представителя к своим персональным данным Учреждение предоставляет только под контролем ответственного за организацию обработки персональных данных Учреждения.
9.3. Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных (Приложение №9).
9.4. Письменный запрос субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным (Приложение №10).
9.5. Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
9.6. В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона №152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
9.7. Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
9.8. Сведения о наличии персональных данных Учреждение предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
9.9. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.
10. Порядок действий в случае запросов надзорных органов
10.1. В соответствии с частью 4 статьи 20 Федерального закона №152-ФЗ Учреждение сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
10.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением сотрудников Учреждения.
10.3. В течение установленного законодательством срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
11. Защита персональных данных субъекта
11.1. Защиту персональных данных субъектов от неправомерного их использования или утраты Учреждение обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.
11.2. При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.
11.3. Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
- РД ФСТЭК России – «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены приказом ФСТЭК России №21 от 18 февраля 2013 года.
- Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года № 282.
- Локальными нормативными актами Учреждения, действующими в сфере обеспечения информационной безопасности.
11.4. Защита персональных данных предусматривает ограничение к ним доступа.
11.5. Руководитель структурного подразделения Учреждения, осуществляющего обработку персональных данных:
- Несет ответственность за организацию защиты персональных данных в подчиненном структурном подразделении;
- Закрепляет за сотрудниками, уполномоченными обрабатывать персональные данные, конкретные материальные носители, на которых допускается хранение персональных данных в случае, если такие носители необходимы для выполнения возложенных на сотрудников функций;
- Организовывает изучение подчиненными сотрудниками, в чьи обязанности входит обработка персональных данных, нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;
- Обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении;
- Организовывает контроль доступа к персональным данным в соответствии с функциональными обязанностями сотрудников подразделения.
11.6. Сотрудники, допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных в установленном порядке (Приложение №4).
12. Обязанности лиц, допущенных к обработке персональных данных
12.1. Лица, допущенные к работе с персональными данными, обязаны:
- Знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы Учреждения по защите персональных данных;
- Сохранять конфиденциальность персональных данных;
- Обеспечивать сохранность закрепленных за ними носителей персональных данных;
- Контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
- Докладывать своему непосредственному руководителю отдела (структурного подразделения) обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.
13. Ответственность сотрудника за нарушением норм, регулирующих обработку и защиту персональных данных субъектов
13.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.
13.2. К данным лицам могут быть применены следующие дисциплинарные взыскания:
- Замечание;
- Выговор;
- Предупреждение о неполном должностном соответствии;
- Освобождение от занимаемой должности;
- Увольнение.
13.3. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
13.4. Копия приказа о применении к сотруднику дисциплинарного взыскания с указанием оснований его применения вручается сотруднику под подпись в течение пяти дней со дня издания приказа.
13.5. Если в течение года со дня применения дисциплинарного взыскания сотрудник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Учреждение до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с сотрудника по собственной инициативе, по письменному заявлению сотрудника или по ходатайству его непосредственного руководителя.
Скачать графическую версию положения
Письменное согласие на обработку персональных данных
Обязательство о неразглашении персональных данных
Письменное согласие на передачу персональных данных третьей стороне
Письменное согласие на включение персональных данных в общедоступные источники персональных данных