- 1. Общие положения
- 1.1. Политика в отношении обработки персональных данных (далее - Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает Общество с ограниченной ответственностью «СИТИЛИНК» (далее - Оператор).
- 1.2. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»).
- 1.3. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.
- 2. Сведения об операторе
- 2.1. Оператор ведет свою деятельность по адресу 107207, г.Москва, Щелковское шоссе, д.77, стр.1, каб. 139
- 3. Сведения об обработке персональных данных
- 3.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.
- 3.2. Оператор получает персональные данные непосредственно у субъектов персональных данных.
- 3.3. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.
- 3.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
- 4. Обработка персональных данных клиентов
- 4.1. Оператор обрабатывает персональные данные клиентов в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ, (далее - клиентов).
- 4.2. Оператор обрабатывает персональные данные клиентов в целях соблюдения норм законодательства РФ, а также с целью:
- - информировать о новых товарах, специальных акциях и предложениях;
- - заключение и исполнение условий договора.
- 4.3. Оператор обрабатывает персональные данные клиентов с их согласия, предоставляемого клиентами и/или их законными представителями путем совершения конклюдентных действий на настоящем интернет-сайте, в том числе, но не ограничиваясь, оформлением заказа, регистрацией в личном кабинете, подпиской на рассылку, в соответствии с настоящей Политикой.
- 4.4. Оператор обрабатывает персональные данные клиентов не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено требованиями законодательства РФ.
- 4.5. Оператор обрабатывает следующие персональные данные клиентов:
- - Фамилия, имя, отчество;
- - Дата рождения;
- - Адрес;
- - Номер контактного телефона;
- - Адрес электронной почты.
- 5. Сведения об обеспечении безопасности персональных данных
- 5.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
- 5.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:
- - обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также может быть размещена на сайте Оператора (при его наличии);
- - во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее - Положение) и иные локальные акты;
- - производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением;
- - осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
- - устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
- - производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
- - производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
- - применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
- - осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- - производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
- - осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.
- 6. Права субъектов персональных данных
- 6.1. Субъект персональных данных имеет право:
- - на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
- - на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- - на отзыв данного им согласия на обработку персональных данных;
- - на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
- - на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
- 6.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».
- 6.1. Субъект персональных данных имеет право:
Обращаем ваше внимание, что с «01» октября 2018 года юридический адрес ООО «Ситилинк» изменен на: 107497, г. Москва, ул. Амурская, д. 7, стр. 1, пом. II, эт. 1, ком. 21
Приложение
УТВЕРЖДЕНО
ПОЛИТИКА
ГОСУДАРСТВЕННОГО УНИТАРНОГО ПРЕДПРИЯТИЯ МОСКОВСКОЙ ОБЛАСТИ «НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ И ПРОЕКТНЫЙ ИНСТИТУТ ГРАДОСТРОИТЕЛЬСТВА»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
I . Общие положения
1. Государственное унитарное предприятие Московской области «Научно-исследовательский и проектный институт градостроительства» (ГУП МО «НИиПИ градостроительства») (далее — предприятие), выполняя требования Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Федеральный закон), публикует в свободном доступе настоящую политику в отношении персональных данных и сведения о реализуемых требованиях к защите персональных данных.
2. Положения настоящей политики являются основой для организации работы по обработке персональных данных в ГУП МО «НИиПИ градостроительства», в том числе для разработки внутренних локальных нормативных актов, регламентирующих процесс обработки персональных данных.
3. Положения настоящей политики являются обязательными для исполнения всеми работниками ГУП МО «НИиПИ градостроительства», имеющими доступ к персональным данным.
4. Настоящая политика размещается на общедоступном ресурсе предприятия www..
5. Основные понятия:
5.1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
5.2. оператор персональных данных, оператор — предприятие (ГУП МО «НИиПИ градостроительства»), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
5.3. обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
5.4. автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5.5. распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
5.6. предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
5.7. блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
5.8. уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
5.9. обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
5.10.информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
6. Основные права и обязанности предприятия.
6.1. Предприятие вправе:
6.1.1. отстаивать свои интересы в суде;
6.1.2. предоставлять персональные данные субъектов третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
6.1.3. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
6.1.4. использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации.
6.2. Предприятие обязано:
6.2.1. предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
6.2.2. разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом;
6.2.3. до начала обработки персональных данных (если персональные данные получены не от субъекта персональных данных) предоставить субъекту персональных данных следующую информацию, за исключением случаев, предусмотренных Федеральным законом:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные законом права субъекта персональных данных;
5) источник получения персональных данных.
6.2.4. опубликовать в сети Интернет или иным образом обеспечить неограниченный доступ к настоящей политики предприятия в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
6.2.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6.2.6. до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных Федеральным законом;
6.2.7. сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
6.2.8. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
12.6. Уставом предприятия, законодательными и нормативными актами Российской Федерации и Московской области, регулирующими основную деятельность предприятия;
12.7. трудовыми договорами, договорами о материальной ответственности, которые предприятие заключает с работниками, договорами о проведении практики со студентами учебных заведений, которые предприятие заключает с учебными заведениями;
12.8. согласием на обработку персональных данных;
12.9. обязательством о неразглашении конфиденциальной информации.
IV . Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
13. Предприятие не осуществляет трансграничную передачу персональных данных.
14. Предприятие не осуществляет обработку специальной категории персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
15. Предприятие осуществляет обработку специальной категории персональных данных, касающихся судимости, состояния здоровья, в пределах полномочий, предоставленных в соответствии с законодательством Российской Федерации, в случаях и в порядке, которые определяются в соответствии с федеральными законами.
16. Предприятие осуществляет обработку биометрических персональных данных с целью установления личности работников при осуществлении пропуска на территорию предприятия.
17. Предприятие осуществляет обработку следующих персональных данных субъектов персональных данных:
17.1. фамилия, имя, отчество, адрес регистрации субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
17.2. дата и место рождения;
17.3. фамилия, имя, отчество, адрес регистрации представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
17.4. номер страхового свидетельства государственного пенсионного страхования;
17.5. номер индивидуального налогового номера;
17.6. информация о государственной регистрации актов гражданского состояния;
17.7. информация об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
17.8. информация о послевузовском профессиональном образовании (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);
17.9. информация о дополнительном профессиональном образовании;
17.10. информация о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.)
17.11. сведения о предыдущих местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;
17.12. информация о государственных наградах, иных наградах и знаках отличия (кем награжден и когда);
17.13. информация о степени родства, фамилиях, именах, отчествах, датах рождения близких родственников (отца, матери, братьев, сестер и детей), а также супруга (супруги), бывшего супруга (супруги);
17.14. информация о местах рождения, местах работы и домашних адресах близких родственников (отца, матери, братьев, сестер и детей), а также супруга (супруги), бывшего супруга (супруги);
17.15. информация о пребывании за границей (когда, где, с какой целью);
17.16. информация о близких родственниках (отец, мать, братья, сестры и дети), а также супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);
17.17. информация об отношении к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
17.18. информация о наличии (отсутствии) судимости;
17.19. информация о допуске к государственной тайне, оформленном за период работы, службы, учебы (форма, номер и дата);
17.20. информация о наличии (отсутствии) заболевания, препятствующего выполнению должностных обязанностей, подтвержденная заключением медицинского учреждения;
17.21. информация о наличии (отсутствии) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденная заключением медицинского учреждения;
17.22. информация о наличии административных и иных наказаниях, о привлечении к ответственности;
17.23. сведения о доходах, о размере заработной платы и других выплат, об учреждении юридических лиц и т.п.;
17.24. биографические и анкетные данные работника, результаты тестирования, прохождения конкурсов, сдачи экзаменов;
17.25. фотография, подпись;
17.26. иных фактах, на основании которых работникам по закону и локальными нормативными актами предприятия должны быть предоставлены гарантии и компенсации.
18. Предприятие осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
18.1. физические лица, являющимися кандидатами на замещение вакантных должностей предприятия;
18.2. физические лица, являющиеся работниками предприятия;
18.3. физические лица, являющиеся бывшими работниками предприятия;
18.4. физические лица, являющиеся родственниками и членами семьи работника;
18.5. физические лица, осуществляющие выполнение работ по оказанию услуг (работ) и заключившие с предприятием договор гражданско-правового характера;
18.6. физические лица, приобретшие услуги предприятия, услуги третьих лиц при посредничестве предприятия (контрагенты и заказчики услуг предприятия);
18.7. представители работников, контрагентов, заказчиков услуг;
18.8. студенты, проходящие практику на предприятия по заключенным договорам между предприятием и учебным заведением.
V . Порядок и условия обработки персональных данных
19. Предприятие не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
20. Доступ к персональным данным на предприятии имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей, и назначенные приказом руководителя предприятия.
21. Все персональные данные предприятие получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.
22. В случаях, предусмотренных законодательством Российской Федерации, предприятие обрабатывает персональные данные без специального согласия субъекта персональных данных.
23. Предприятие вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено законом. Такая обработка персональных данных осуществляется на основании договора, заключенного между предприятием и третьим лицом, в котором определены:
23.1. перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
23.2. цели обработки персональных данных;
23.3. обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
24. Предприятие осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
25. Предприятие осуществляет обработку персональных данных, которая включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
26. Предприятие обрабатывает персональные данные в автоматизированной системе АИС «Финансы и кадры» и неавтоматизированным способом.
27. На предприятии обеспечивается защита персональных данных в рамках единого комплекса организационно-технических и правовых мероприятий по охране информации, составляющей персональные данные. При обеспечении защиты персональных данных учитываются требования Федерального закона, принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации. Система информационной безопасности предприятия непрерывно развивается и совершенствуется на базе требований национальных стандартов информационной безопасности. На предприятии в предусмотренных нормативными актами и локальными нормативными актами случаях проводится аттестация информационных систем на соответствие требованиям по защите информации.
28. Хранение персональных данных на предприятии осуществляется в рамках конфиденциального производства в порядке, исключающем их утрату или неправомерное использование, в форме, позволяющей определить субъекта персональных данных.
29. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями законодательства Российской Федерации (Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», Федеральным законом от 22.10.2004 г. №125-ФЗ «Об архивном деле», Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства Российской Федерации), нормативными актами и локальными нормативными актами предприятия.
VI . Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
30. Предприятие при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу уполномоченного органа по защите прав субъекта персональных данных блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
31. Предприятие на основании сведений, предоставленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъекта персональных данных, или иных необходимых документов подтверждающих, что персональные данные являются неполными, неточными или неактуальными, вносит в них необходимые изменения в течение семи рабочих дней со дня предоставления таких сведений.
32. Предприятие, со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий семи рабочих дней, осуществляет уничтожение персональных данных и уведомляет субъекта персональных данных или его представителя о предпринятых мерах.
33. Предприятие прекращает обработку персональных данных субъекта и осуществляет уничтожение этих персональных данных:
33.1. при изъятии полномочий по обработке персональных данных; ликвидации предприятия;
33.2. при достижении цели обработки персональных данных, в срок, не превышающий тридцати дней со дня достижения цели обработки персональных данных, если иное не предусмотрено Федеральным законом или другими федеральными законами;
33.3. при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
33.4. при истечении срока согласия субъекта на обработку персональных данных;
33.5. при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных, в срок, не превышающий тридцати дней со дня поступления указанного отзыва, если иное не предусмотрено Федеральным законом или другими федеральными законами;
33.6. при выявлении неправомерной обработки персональных данных, осуществляемой предприятием.
34. Предприятия предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящихся к соответствующему субъекту персональных данных, в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя или на законных основаниях предоставляет в письменной форме мотивированный отказ, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
VII . Заключительные положения
35. Настоящая политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных.
36. Контроль над исполнением требований настоящей политики осуществляется ответственным лицом предприятия, назначаемым в установленном порядке локальным нормативным актом.
37. Ответственность должностных лиц предприятия, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации в области персональных данных и локальными нормативными актами предприятия.
Согласно последним изменениям в федеральном законодательстве – вступлением в силу изменений в Федеральном законе № 152-ФЗ от 27.07.2006 “О персональных данных” от 01 июля 2017 года (начало действия Федерального закона от 07.02.2017 № 13-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”), в целях выявления наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработки мер по их устранению и недопущению в дальнейшем, в любой компании – организации, учреждении, предприятии, в различных системах социальной сферы и прочих (включая в ДОУ, школах) необходимо срочно принять целых пакет документов относительно политики конфиденциальности персональных данных.
Самый первый основополагающий документ в организации, с которого нужно начать – это Политика оператора в отношении обработки и защиты персональных данных .
Данная статья, является первым продолжением темы политики конфиденциальности, развернутой на главной странице – , где Вы сможете обозреть всю сеть необходимых документов, излагаемых в логической последовательности.
Если Вам нужно сделать документы не для компании, а для Вашего Сайта, переадресовываю к следующей странице: .
Здесь, я привожу пример и образец 2018-2019 года, как делать Политику оператора в отношении обработки и защиты персональных данных в учреждении, на примере организации социального обслуживания населения.
Все отформатированные шаблоны-документы в формате docx в конце каждого пункта Вам будут доступны бесплатно для прямого скачивания по прямой ссылке.
Вам останется только немного их редактировать и применить к своему предприятию, заменив название организации.
Итак, начнем…
В прилагаемом тексте Политики вверху справа обозначаются реквизиты документа (кем утверждена Политика): должность, наименование организации, дата, номер приказа.
УТВЕРЖДЕНА
приказом директора
ГКУ СО «Наименование» ЦСОН»
от 30.06.2018 г. № 37
Политика оператора в отношении обработки и защиты персональных данных ГКУ СО «Наименование ЦСОН»: образец 2018-2019 года
1.Общие положения
1.1. В целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных ГКУ (ГБУ) СО «Наименование ЦСОН» (вставите свое наименование) (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика в отношении обработки и защиты персональных данных в ГКУ СО «Наименование ЦСОН» (далее – Политика) характеризуется следующими признаками:
1.2.1. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
1.2.2. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.
2.Информация об Операторе
Наименование:
- полное официальное наименование: государственное казенное (бюджетное) учреждение социального обслуживания «Наименование центр социального обслуживания населения»;
- официальное сокращенное наименование: ГКУ СО «Наименование ЦСОН».
ИНН: 0000000000.
Фактический адрес: 000000, Наименование область, Наименование район, станица Наименование, улица Наименование, 37.
Тел., факс: (00000): 0-00-00, 0-00-00.
Реестр операторов персональных данных:
https://rkn.gov.ru/personal-data/register/?id=00-000000.
– Номер в реестре операторов персональных данных: 00-0000000.
– Дата и основание внесения оператора в реестр: 00.00.2010, приказ № 000.
3.Правовые основания обработки персональных данных
3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27.06.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
3.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:
3.2.1. Правила обработки персональных данных
3.2.2. Перечень обрабатываемых персональных данных
3.2.3. Перечень информационных систем персональных данных.
3.2.4. Перечень работников, допущенных к работе с персональными данными.
3.2.5. Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3.2.6. Акты классификации информационных систем персональных данных.
4.Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
4.1.1. Обеспечение реализации государственной политики по социальной поддержке и социальному обслуживанию пенсионеров, ветеранов, инвалидов, малоимущих граждан, граждан пожилого возраста, семей с детьми, несовершеннолетних и других категорий населения, нуждающихся в государственной социальной поддержке и помощи, а также государственной семейной и демографической политики на территории Волгоградской области, предоставление социальных услуг.
4.1.2. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.
4.1.3. Осуществления пропускного режима.
5.Категории обрабатываемых персональных данных, источники их получения, сроки обработки и хранения
5.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:
5.1.1. Персональные данные сотрудников. Источники получения: субъекты персональных данных ГКУ СО «Наименование ЦСОН».
5.1.2. Персональные данные получателей социальных услуг, их представителей, члены их семей. Источники получения: граждане, обратившиеся в ГКУ СО «Наименование ЦСОН».
5.2. Сроки обработки и хранения персональных данных определены в Перечне обрабатываемых персональных данных ГКУ СО «Наименование ЦСОН».
6.Основные принципы обработки, передачи и хранения персональных данных
6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».
6.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
6.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
6.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
6.5. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.
6.6. Оператором созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.
7.Сведения о третьих лицах, участвующих в обработке персональных данных
7.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
7.1.1. Федеральной налоговой службе.
7.1.2. Отделению Пенсионного фонда РФ по Наименование области.
7.1.3. Участникам системы межведомственного электронного взаимодействия.
7.1.4. Негосударственным пенсионным фондам.
7.2. Оператор не поручает обработку персональных данных другим лицам на основании договора.
8.Меры по обеспечению безопасности персональных данных при их обработке
8.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
8.1.1. Назначением ответственных за организацию обработки персональных данных.
8.1.2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
8.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
8.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
8.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
8.1.6. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
8.1.7. Учетом машинных носителей персональных данных.
8.1.8. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
8.1.9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.1.10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
8.1.11. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
8.2. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в должностных регламентах вышеуказанных лиц.
9.Права субъектов персональных данных
9.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
9.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:
9.3.1. Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.
9.3.2. При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.
9.3.3. Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
9.3.4. Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.3.5. Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
9.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
Образец Политики обработки персональных данных для организации. В конце статьи выложен образец в формате MS Word для скачивания.
С примерным перечнем документов по можете ознакомиться в данной статье
УТВЕРЖДАЮ
Директор ООО «________»
А. А. Иванов
«____»______________2017г.
ПОЛИТИКА обработки персональных данных ООО «____________»
1. Общие положения.
1.1. Настоящая Политика обработки персональных данных (далее - Политика обработки ПДн) ООО «________» (далее – Оператор), ИНН _________, расположенного по адресу: __________________, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Политика обработки ПДн разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПДн).
1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «_______» вопросы обработки персональных данных работников ООО «______» и других субъектов персональных данных.
2. Цели обработки персональных данных.
Персональные данные обрабатываются Оператором в следующих целях:
1) осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
— выполнение требований законодательства в сфере труда и налогообложения;
— ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
— выполнение требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами или контрагентами ООО «________» (далее – субъекты персональных данных).
2) осуществления прав и законных интересов ООО «_____» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «______», или третьих лиц либо достижения общественно значимых целей;
3) в иных законных целях.
3. Правовое основание обработки персональных данных.
Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:
1) Конституции Российской Федерации;
2) Трудового кодекса Российской Федерации;
3) Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
4) Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
5) Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
6) Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
7) приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
8) приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
9) приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
10) Приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».
11) Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4. Перечень действий с персональными данным.
При обработке ПДн Оператор будет осуществлять следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5. Состав обрабатываемых персональных данных.
5.1. Обработке Оператором подлежат ПДн следующих субъектов ПДн:
— сотрудники Оператора;
— клиенты Оператора;
— контрагенты Оператора;
— физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
5.2. Состав ПДн каждой из перечисленных в п. 5.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.
5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «_______» не осуществляется.
6. Обработка персональных данных.
6.1. Обработка персональных данных в ООО «__________» осуществляется следующими способами:
не автоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.
7. Обеспечение защиты персональных данных при их обработке Оператором.
Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:
– назначение Оператором ответственного за организацию обработки персональных данных;
– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8. Право субъекта персональных данных на доступ к его персональным данным.
8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
8.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Оператором;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Оператором способы обработки персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
–порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
8.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
С 1.07.2017 г. вступили в действие изменения в КоАП и ФЗ № 152. В соответствии с ними, всем организациям, учреждениям, предприятиям необходимо разработать и утвердить особый документ - Политику в отношении обработки персональных данных .
Актуальность вопроса
Новые требования законодательства направлены на защиту граждан от несанкционированного доступа и незаконного использования их личных сведений. Особое внимание законодатель уделил социально значимым объектам: ДОУ, школам.
Позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.
Законодательством предусмотрены периодические проверки субъектов на предмет соответствия фактического уровня защиты установленным требованиям. Мониторинг осуществляют территориальные подразделения Роскомнадзора.
Политика в отношении обработки персональных данных - это документ, состоящий из нескольких разделов. В них приводятся сведения о субъекте, осуществляющем сбор и обработку данных, и о третьих лицах, участвующих в этом процессе, меры по защите информации, ссылки на нормативные документы, права носителей персональных сведений. Далее будет описан типовой образец Политики в отношении обработки персональных данных.
Титульная страница
Справа вверху должен присутствовать гриф утверждения. В нем присутствуют: наименование должности, Ф. И. О. руководителя и его подпись, а также печать организации.
По центру, с небольшим отступом от грифа указывается наименование документа. Например, оно может быть таким:
"Политика ООО "__" в отношении обработки персональных данных и сведениях о реализуемых мерах по их защите".
Как правило, с титульного листа начинается текст документа.
В Общих положениях Политики в отношении обработки персональных данных приводится информация о самом документе. Ключевые его задачи состоят в:
- Раскрытии основных категорий персональных сведений, целей, способов, принципов их обработки, обязанностей и прав предприятия в процессе использования данных.
- Обеспечении защиты конфиденциальности персональной информации.
Образец Политики в отношении обработки персональных данных содержит также указание на общедоступность документа.
Сведения об организации
В качестве субъекта, осуществляющего сбор и обработку личных сведений, может выступать любое предприятие, организация, в том числе оказывающая услуги оператора. Политика в отношении обработки персональных данных содержит информацию о:
- Наименовании субъекта. Оно приводится в полной и сокращенной форме.
- Фактическом адресе.
- Телефоне, факсе.
В Политику оператора в отношении обработки персональных данных включаются также сведения о номере, дате и основании их внесения в единый реестр.
Нормативные основания
В этом разделе Политики организации в отношении обработки персональных данных приводятся указания на правовые документы, которыми руководствуется компания при работе с личными сведениями. К основным нормативным актам относят:
- Конституцию РФ.
- ТК РФ.
- ГК РФ.
- ФЗ № 160.
- ФЗ № 152.
- ФЗ № 210.
- ФЗ № 326.
- ФЗ № 149.
В целях реализации Политики в отношении обработки персональных данных компания принимает ряд локальных актов. В их числе Перечни:
- Личных сведений, подвергающихся обработке.
- Информационных систем, используемых при работе с информацией.
- Сотрудников, имеющих допуск к персональным данным.
Кроме того, утверждаются:
- Правила обработки информации.
- Акты классификации информсистем.
- Модели возможных угроз безопасности личных данных в ходе их обработки.
Цели работы с информацией
В должен присутствовать закрытый перечень задач, реализуемых организацией. Обработка сведений должна осуществляться для:
- Обеспечения реализации госполитики по соцподдержке и социальному обслуживанию граждан, в том числе относящихся к категории особо нуждающихся. В их числе: малоимущие, пенсионеры, инвалиды любой группы, многодетные семьи, несовершеннолетние и пр.
- Оформления трудовых договоров, гражданско-правовых соглашений, контрактов с контрагентами и исполнения их условий.
- Организации пропускного режима.
Категории сведений
Политика в отношении обработки персональных данных предусматривает работы с личными сведениями:
- сотрудников;
- получателей услуг, их родственников, представителей.
Источниками этой информации являются сами ее носители.
Принципы работы со сведениями
Согласно Политике в отношении обработки персональных данных , субъект, работающий с информацией, обязан соблюдать положения 5 статьи ФЗ № 152.
Если организация не работает с в Политике должно быть это указано. Биометрические сведения характеризуют биологические и физиологические особенности человека, по которым устанавливается его личность.
К другим основополагающим принципам работы с личной информацией следует отнести:
- Неиспользование специальных категорий сведений, относящихся к национальной/расовой принадлежности, религиозным, политическим взглядам, философским убеждениям, интимной жизни, состоянию здоровья.
- Исключение трансграничной передачи информации (в другое государство, иностранному гражданину или юрлицу).
- Передача сведений сторонним лицам осуществляется исключительно с согласия носителя на основании соглашения.
- Формирование общедоступных источников личных данных (справочников, адресных книг), сообщаемых гражданином. Информация, в соответствии с Политикой конфиденциальности в отношении обработки персональных данных , включается в них только с его согласия.
Третьи лица, задействованные в работе с личными данными
Для реализации требований законодательства, достижения целей работы с персональной информацией, в интересах и по согласию носителей сведения передаются:
- Субъектам системы электронного межведомственного взаимодействия.
- Отделениям негосударственных пенсионных фондов.
Меры безопасности
Этот раздел Политики в отношении обработки персональных данных считается одним из самых значимых.
Субъект, работающий с личной информацией граждан, обязан предпринять все юридические, технические и организационные меры по предотвращению случайного или противоправного доступа, изменения, уничтожения, копирования, блокирования, распространения и совершения иных противозаконных действий с ней.
В организации должны быть назначены служащие, ответственные за организацию работы с информацией.
В обязательном порядке предусматривается внутренний контроль/аудит соответствия обработки сведений требованиям ФЗ № 152, а также нормативным документам, принятым на его основании, в том числе локальным актам. Все сотрудники, работающие с личной информацией граждан, должны быть ознакомлены с их положениями.
До ввода в эксплуатацию информсистемы должна быть проведена оценка эффективности мер, предпринимаемых для обеспечения защиты сведений.
Факты несанкционированного доступа к персональным данным должны выявляться оперативно. При их обнаружении организация обязана принимать меры по восстановлению измененных либо уничтоженных сведений.
Доступ к персональным данным должен осуществляться по установленным в законодательстве и других, в том числе В организации должны обеспечиваться регистрация и учет действий, совершаемых с личной информацией граждан. Обязательным требованием законодательства является установление контроля за мерами, предпринимаемыми для защиты данных и информсистем.
В должностных регламентах определяются обязанности сотрудников, работающих с личной информацией.
Права носителей персональных данных
Граждане вправе получать сведения о процессе обработки их личной информации. Носитель данных может потребовать их уточнения, уничтожения либо блокирования, если они:
- устарели;
- являются неполными/неточными;
- получены противоправным способом;
- не являются необходимыми для заявленных целей обработки.
Носитель информации вправе принимать меры для защиты своих интересов в рамках действующего законодательства.
Ограничение прав
Оно допускается исключительно в случаях, предусмотренных законом. Права граждан на доступ к их персональным данным ограничивается, если:
- Обработка информации, включая ту, что получена при оперативно-розыскной, разведывательной или контрразведывательной деятельности, осуществляется для обеспечения безопасности, обороноспособности государства и охраны порядка.
- С личными сведениями работают органы, производившие задержание лиц, подозреваемых/обвиняемых в преступлениях, применившие к субъектам меры пресечения. Исключение составляют случаи, закрепленные УПК.
- Обработка данных направлена на противодействие отмывания (легализации) доходов, полученных незаконным путем, а также на пресечение финансирования терроризма.
- Работа с информацией осуществляется для обеспечения безопасного функционирования транспортной инфраструктуры, защиты прав и интересов личности, государства и общества в транспортной сфере.
Важные моменты
В Политике об обработке персональной информации должны закрепляться меры, которые может предпринимать гражданин для защиты своих прав. В частности, субъект может обратиться непосредственно к лицам, работающим с его личными данными.
Организация должна рассматривать любые жалобы и обращения, тщательно изучать их. При необходимости проводится внутреннее расследование нарушений. Организация обязана предпринять все меры для незамедлительного устранения выявленных нарушений, наказания виновных и урегулирования конфликтов в досудебном порядке.
Носитель персональных сведений может оспорить действия/бездействия организации, ее сотрудников посредством обращения в орган, уполномоченный на реализацию функций по защите прав субъектов персональной информации. Он также может потребовать компенсации морального либо материального вреда в судебном порядке.
Контактные сведения
В Политике должна присутствовать информация о лицах, ответственных за организацию работы с персональными сведениями. Им может являться руководитель отдела по приему граждан, организационно-технической работы и социального сопровождения. Должны указываться его Ф. И. О., должность, номер телефона. По усмотрению руководства организации в контактных данных может присутствовать адрес эл. почты.
Кроме того, в этом разделе Политики должны указываться сведения о контролирующем органе:
- Почтовый адрес.
- Наименование.
- Официальный сайт.
- Адрес эл. почты.
- Номера телефонов.
Заключительные положения
В этом разделе приводится информация о разработчиках Политики и лице, контролирующем ее исполнение в организации. В качестве первых выступает, как правило, компании. Контроль исполнения положений возлагается на руководителя организации или его заместителя. Ф. И. О. и должность ответственного лица должна обязательно указываться в документе.
Приказ об утверждении
Разработанный проект Политики передается руководителю для согласования. Утверждение документа осуществляется по приказу директора. Этот акт составляется по типовому образцу, принятому в соответствии с номенклатурой дел, на основании Инструкции по делопроизводству.
В Приказе присутствуют следующие сведения:
- Наименование организации.
- Название документа.
- Дата составления, номер.
- Преамбула.
- Текст.
- Дата вступления в силу.
- Ф. И. О. руководителя предприятия, подпись.
- Подписи лиц, ознакомленных с приказом.
Преамбула, как правило, обычно выглядит следующим образом:
"В соответствии с п. 2 ст. 18.1 ФЗ № 152 "О персональных данных", Постановлением правительства № 211 от 21.03.2012 г., принятыми на их основании нормативными актами, приказываю…"
"Утвердить Политику "___" в отношении обработки персональных данных".
Операторы должны размещать утвержденный документ на официальном сайте региона в разделе "Реестр поставщиков соц. услуг". В этой связи в приказе указывается следующее:
"Начальнику отдела по работе с гражданами (Ф. И. О.) в течение 10 дней с даты утверждения опубликовать Политику на официальном сайте (наименование региона) в разделе "Реестр поставщиков социальных услуг".
Дополнительно
Если в организации ранее была утверждена Политика, ее следует пересмотреть и при необходимости внести изменения. Откорректированный документ следует утвердить заново. При этом приказ, на основании которого была принята действовавшая до изменений Политика, нужно отменить. Для этого издается распоряжение. В нем можно одновременно отменить ранее действовавший приказ и утвердить откорректированную политику.
Заключение
В последнее время вопросу обеспечения защиты персональных сведений уделяется повышенное внимание. Это связано со стремительным развитием компьютерных технологий, появлением новых возможностей для недобросовестных пользователей. Каждая организация, работающая с персональными данными, должна гарантировать их носителям безопасность.
Положения Политики должны быть доведены до сведения всех работников. Требования, предусмотренные документом, являются обязательными для исполнения всеми подразделениями компаний, учреждений, предприятий и других лиц, участвующими в работе с личной информацией граждан. Нарушение предписаний влечет ответственность в соответствии с нормами действующего законодательства.
