Политика в отношении обработки персональных данных
ПОЛИТИКА
в отношении обработки персональных данных
в МБУ «ЦППМСП» г. Перми
1. ОСНОВНЫЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных в МБУ «ЦППМСП» г. Перми (далее – Политика) разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.2. Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных в МБУ «ЦППМСП» г. Перми.
1.3. Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов персональных данных (далее – субъект ПДн) и обрабатываемых в МБУ «ЦППМСП» г. Перми» персональных данных, права субъектов ПДн, а также реализуемых в МБУ «ЦППМСП» г. Перми требований к защите персональных данных.
1.4. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Учреждения, а также в случаях изменения законодательства Российской Федерации в области персональных данных.
1.5. Политика подлежит опубликованию на официальном сайте Учреждения.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей Политики используются следующие понятия:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к информации – возможность получения информации и ее использования.
Доступность информации – состояние информации, характеризуемое способностью информационной системы обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. ОБЛАСТЬ ДЕЙСТВИЯ
3.1. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Учреждением:
− автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; − неавтоматизированная обработка персональных данных.
3.2. Учреждение осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение персональных данных.
3.3. Политика применяется ко всем категориям субъектов ПДн, указанным в п. 4.1 настоящей Политики.
4. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ
4.1. В соответствии с целями обработки персональных данных, указанными в п.6 настоящей Политики, Учреждением осуществляется обработка персональных данных следующих категорий субъектов ПДн:
− работники;
− близкие родственники работников;
− соискатели вакантных должностей:
− уволенные работники;
− заявители, клиенты;
− представители заявителей;
− лица, получающие услуги в МБУ «ЦППМСП» г. Перми;
− пользователи сайта Учреждения.
5. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Перечень персональных данных, обрабатываемых в Учреждении, определяется в соответствии с законодательством РФ и локальными нормативными актами Учреждения с учетом целей обработки персональных данных, указанных в разделе 6 Политики.
5.2. Обработка специальных, категорий персональных данных, персональных данных, разрешенных субъектом персональных данных для распространения, в Учреждении не осуществляется.
6. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных осуществляется Учреждением в следующих целях:
− ведения бухгалтерского и кадрового учета;
− оказания психологической, медицинской и социальной помощи;
− автоматизации обработки в МБУ «ЦППМСП» г. Перми обращений граждан и организаций в процессе предоставления государственных и муниципальных услуг;
− автоматизации обработки в МБУ «ЦППМСП» г. Перми обращений граждан и организаций в процессе предоставления иных услуг;
− обеспечение возможности обращения заявителей в МБУ «ЦППМСП» г. Перми по предварительной записи.
6.2. Обработка персональных данных в Учреждении осуществляется с учетом необходимости обеспечения защиты прав и свобод работников учреждения и других субъектов ПДн на основе следующих принципов:
− обработка персональных данных осуществляется в Учреждении
на законной и справедливой основе;
− обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
− не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
− не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
− обработке подлежат только персональные данные, которые отвечают целям их обработки;
− содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
− при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждением принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных, или неточных персональных данных;
− хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
− обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка персональных данных в Учреждении осуществляется с согласия субъекта ПДн на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
7.2. Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на МБУ «ЦППМСП» г. Перми функций, полномочий и обязанностей.
7.3. Работники Учреждения, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
7.6. Учреждение не создает общедоступные источники персональных данных.
7.7. Доступ к обрабатываемым в Учреждении персональным данным разрешается только работникам Учреждения, в должностные обязанности которых входит обработка персональных данных.
7.8. Трансграничная передача персональных данных Учреждением не осуществляется.
7.9. МБУ «ЦППМСП» вправе в необходимом объеме раскрывать информацию персональных данных Департаменту образования администрации г. Перми, Комиссии по делам несовершеннолетних и защите их прав г. Перми
8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Права субъекта ПДн на доступ к его персональным данным
8.1.1. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных (далее – запрашиваемая субъектом информация), в том числе содержащей:
- подтверждение факта обработки персональных данных Учреждением;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Учреждением способы обработки персональных данных;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.1.2. Субъект ПДн имеет право на получение запрашиваемой информации, за исключением следующих случаев:
− обработка персональных данных осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
− обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
− доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц;
− обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
8.1.3. Субъект ПДн вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.1.4. Запрашиваемая субъектом информация должна быть предоставлена субъекту ПДн Учреждением в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.2.1. Если субъект ПДн считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
9.1. Учреждение при обработке персональных данных принимает необходимые и достаточные правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Обеспечение безопасности персональных данных достигается, в частности:
− назначение лица, ответственного за организацию обработки персональных данных в Учреждении;
− принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
− организацию обучения и проведение методической работы с работниками Учреждения;
− получение согласий субъектов ПДн на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
− установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных в Учреждении мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
− хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
− осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Учреждения;
− иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
10. ОБЯЗАННОСТИ ОПЕРАТОРА
10.1. Обязанности Оператора при сборе персональных данных
10.1.1. При сборе персональных данных Учреждение предоставляет субъекту ПДн по его просьбе запрашиваемую субъектом информацию.
10.1.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Учреждение разъясняет субъекту ПДн юридические последствия отказа предоставить его персональные данные.
10.1.3. Если персональные данные получены не от субъекта ПДн, Учреждение до начала обработки таких персональных данных предоставляет субъекту ПДн следующую информацию (далее – информация, сообщаемая при получении персональных данных не от субъекта ПДн):
− наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
− цель обработки персональных данных и ее правовое основание;
− предполагаемые пользователи персональных данных;
− установленные Федеральным законом «О персональных данных» права субъекта ПДн; − источник получения персональных данных.
10.1.4. Учреждение не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта ПДн, в случаях, если:
− субъект ПДн уведомлен об осуществлении обработки его персональных данных Учреждением;
− персональные данные получены Учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
− персональные данные сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
− Учреждение осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
− предоставление субъекту ПДн информации, сообщаемой при получении персональных данных не от субъекта ПДн, нарушает права и законные интересы третьих лиц.
11. СФЕРЫ ОТВЕТСТВЕННОСТИ
11.1. Лица, ответственные за организацию обработки персональных данных в организациях
11.1.1. Учреждение назначает лицо, ответственное за организацию обработки персональных данных.
11.1.2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся Оператором, и подотчетно ему.
11.1.3. Учреждение предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения.
11.1.4. Лицо, ответственное за организацию обработки персональных данных, в частности, выполняет следующие функции:
− осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
− доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
− организовывает прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
11.2. Ответственность
11.2.1. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.