Положение об обработке персональных данных
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
2. Основные понятия и состав персональных данных. 3
3. Сбор, обработка и защита персональных данных. 6
4. Передача и хранение персональных данных. 7
5. Доступ к персональным данным.. 9
6. Защита персональных данных. 9
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных 11
1.Общие положения
- Настоящее Положение по обработке персональных данных (далее — Положение) Управления социальной защиты населения администрации Сосновского муниципального района (далее – Учреждения) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» №149 от 27.07.2006, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным субъектов Учреждения.
- Цель разработки Положения — определение порядка обработки персональных данных сотрудников Учреждения и иных субъектов персональных данных (далее – субъекты ПДн), персональные данные которых подлежат обработке; защита ПДн от несанкционированного доступа, неправомерного их использования или утраты.
- Учреждение является оператором персональных данных лиц, указанных в пункте 2.1 настоящего Положения. На основании договора Учреждение может поручать обработку персональных данных третьим лицам. Существенным условием договора об оказании услуг по обработке персональных данных является обязанность обеспечения этими лицами конфиденциальности и безопасности персональных данных субъектов.
- Настоящее Положение вступает в силу с момента его утверждения руководителем Учреждения и действует бессрочно, до замены его новым Положением.
- Все изменения в Положение вносятся приказом руководителя.
2.Основные понятия и состав персональных данных
- Под субъектами персональных данных подразумеваются следующие лица:
- лица (далее – сотрудники), имеющие трудовые отношения с Учреждением;
- граждане, обратившиеся в Учреждение за получением услуг;
- граждане, состоящие на учете в Учреждении.
- Обработка персональных данных осуществляется:
- без использования средств автоматизации;
- с использованием средств информационных систем персональных данных.
- Состав персональных данных, обрабатываемых в информационной системе персональных данных (далее – ИСПДн) Учреждения, определяется Перечнями персональных данных, обрабатываемых в информационных системах персональных данных.
- Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:
- сбор, хранение, уточнение (обновление, изменение);
- систематизацию, накопление;
- использование, распространение (в том числе передачу);
- обезличивание, блокирование, уничтожение.
- Обработка персональных данных граждан, обратившихся в Учреждение, осуществляется с целью:
- разработки и реализации комплексных программ социальной защиты населения района;
- организации и ведения дифференцированного учёта численности всех категорий граждан, имеющих право в соответствии с действующим законодательством на получение пенсий и пособий, льгот и социальных выплат, государственной социальной помощи, социального обслуживания, а так же граждан, обратившихся за помощью и получивших её;
- формирования и поддержки персонифицированного банка данных о лицах, имеющих право на получение пенсий, детских пособий, льгот и социальных выплат, а так же социальной помощи;
- формирования и ведения пенсионных и личных дел граждан, состоящих на учёте по вопросам назначения, получения выплаты: пенсий и детских пособий, компенсаций и социальных льгот, документов о праве на льготы, государственной социальной помощи, социальной поддержки, технических средств реабилитации инвалидов;
- организации и осуществления современного и качественного назначения, перерасчёта, индексации и выплаты доставки пенсий, доплаты к пенсиям федеральным и государственным служащим, детских пособий, а так же выплаты иного характера, предусмотренной нормативными актами;
- обеспечения прав граждан, установленных действующим законодательством, на льготы и социальные выплаты путём выдачи соответствующих документов;
- направления на медико-социальную экспертизу лиц, имеющих признаки ограничения жизнедеятельности и нуждающихся в социальной защите;
- оказания содействия в разработке индивидуальных программ реабилитации;
- организации привлечения внебюджетных средств для финансирования районных целевых программ по социальной защите населения, укрепления материальной базы системы социальной защиты района;
- организации и выполнения работ по опеке и попечительству, охраны прав недееспособных, ограниченно дееспособных;
- выявления малоимущих одиноко проживающих граждан и малоимущие семьи(детей);
- осуществления функций по опеке и попечительству в отношении лиц, признанных судом недееспособными или ограниченно дееспособными.
Персональные данные граждан обрабатываются в следующих подразделениях Учреждения:
- отдел семьи и детских пособий;
- отдел выплаты;
- отдел опеки и попечительства;
- отдел льгот и социальных гарантий;
- отдел субсидий;
- заместитель начальника Управления.
- Комплекс документов, сопровождающий процесс оказания услуг гражданам.
- Информация, представляемая гражданами в Учреждение, должна иметь документальную форму. Граждане предъявляют следующие документы:
- Комплекс документов, сопровождающий процесс оказания услуг гражданам.
- паспорт или иной документ, удостоверяющий личность;
- страховое свидетельство государственного пенсионного страхования.
При необходимости граждане могут представлять иные документы.
- Обработка персональных данных сотрудника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотруднику в трудоустройстве, обучении, продвижении по работе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством РФ и актами Учреждения, а также для осуществления основной деятельности Учреждения.
Персональные данные сотрудников Учреждения обрабатываются в следующих подразделениях в соответствии с исполняемыми функциями:
- отдел бухучета и отчетности;
- старший инспектор по кадрам.
- Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Учреждении при его приеме, переводе и увольнении.
- Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст.65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Учреждении при его приеме, переводе и увольнении.
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника).
- При оформлении работника в Учреждение, специалистом по кадрам заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и контактных телефонах.
- У старшего инспектора по кадрам создаются и хранятся следующие группы документов, содержащие персональные данные работников в единичном или сводном виде:
- Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Учреждения; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
- Организационно-распорядительная документация Учреждения (Положения, должностные инструкции работников, приказы начальника); документы по планированию, учету, анализу и отчетности в части работы с персоналом Учреждения.
- В дальнейшем в ИСПДн Учреждения обрабатываются персональные данные согласно Перечням персональных данных, обрабатываемых в информационных системах персональных данных.
- У старшего инспектора по кадрам создаются и хранятся следующие группы документов, содержащие персональные данные работников в единичном или сводном виде:
3.Сбор, обработка и защита персональных данных
- Порядок получения персональных данных.
- Все персональные данные сотрудников Учреждения и прочих физических лиц следует получать у них самих. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Учреждения должно сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
- Учреждение вправе обрабатывать персональные данные физических лиц только с их письменного согласия.
- Согласие субъекта не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
- обработка персональных данных осуществляется в целях исполнения трудового договора;
- обработка персональных данных, необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
- обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
- Порядок обработки, передачи и хранения персональных данных.
- Субъект предоставляет должностному лицу Учреждения достоверные сведения о себе. Должностное лицо проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами.
- Начальник и сотрудники Учреждения (операторы) при обработке персональных данных сотрудника должны соблюдать следующие общие требования:
- Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания услуг гражданам, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
- При определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и иными федеральными законами.
- При принятии решений, затрагивающих интересы субъекта, Учреждение, как оператор, не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
- Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Учреждением как оператором за счет своих средств в порядке, установленном федеральным законом.
- Сотрудники и их представители должны быть ознакомлены под подпись с документами Учреждения, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
- Во всех случаях отказ субъекта от своих прав на сохранение и защиту персональных данных недействителен.
- Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
- Информация о субъектах ПДн, зафиксированная в автоматизированных системах и на бумажных носителях должна храниться в условиях, исключающих несанкционированный доступ к ней.
- должна храниться в условиях, исключающих несанкционированный доступ к ней.
- Порядок обработки, передачи и хранения персональных данных.
4.Передача и хранение персональных данных
- При передаче персональных данных субъекта Учреждение должно соблюдать следующие требования:
- Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральным законом.
- Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Данное Положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.
- Осуществлять передачу персональных данных субъектов в пределах Учреждения в соответствии с настоящим Положением.
- Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудников и граждан, которые необходимы для выполнения конкретной функции.
- Передавать персональные данные представителям в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.
- Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу.
- Хранение и использование персональных данных:
- Персональные данные субъектов обрабатываются и хранятся на бумажных носителях в помещениях Учреждения и на учтённых машинных носителях в соответствии с Инструкцией по учёту машинных носителей.
- Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде — в локальной компьютерной сети, в компьютерных программах и электронных базах данных.
- ПДн субъектов должны удаляться из Информационных систем персональных данных Учреждения по достижении целей обработки, при этом допускается хранить документы, содержащие ПДн, срок хранения которых регулирует Федеральный закон от 22 октября 2004 г. №125-ФЗ «Об архивном деле в РФ».
- При получении персональных данных не от субъекта (за исключением случаев, если персональные данные были предоставлены Учреждению на основании федерального закона или если персональные данные являются общедоступными), Учреждение до начала обработки таких персональных данных обязано предоставить субъекту следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» права субъекта персональных данных.
5.Доступ к персональным данным
- Перечень лиц, имеющих право доступа к персональным данным, определяется «Списком лиц, которым необходим доступ к персональным данным», утверждённым Руководителем Учреждения.
- Субъект персональных данных, чьи персональные данные обрабатываются в информационной системе Учреждения, имеет право:
- Получать доступ к своим персональным данным и знакомиться с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные этого субъекта.
- Требовать от Учреждения уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для оператора персональных данных.
- Получать от оператора:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
- Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения начальника Учреждения.
- Передача информации третьей стороне возможна только при письменном согласии субъекта персональных данных.
6.Защита персональных данных
- Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
- Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
- Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
- Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законом.
- «Внутренняя защита».
- Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами Учреждения.
- Для обеспечения внутренней защиты персональных данных необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно-методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделений;
- воспитательная и разъяснительная работа с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
- «Внешняя защита».
- Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
- Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Учреждения, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в Учреждении.
- Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим организации;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
- Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
- По возможности персональные данные обезличиваются.
- Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных.
7.Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
- Сотрудники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.
- Руководитель за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.