Политика в отношении обработки персональных данных в СОГБУ «Гагаринский КЦСОН»

Версия для печати

Приложение №5

Утверждено приказом директора

СОГБУ «Гагаринский КЦСОН»

от 19.09.2016г. № 50-г

«Об организации сбора и защиты

персональных данных

в СОГБУ «Гагаринский КЦСОН»

Политика в отношении обработки персональных данных в
СОГБУ «Гагаринский КЦСОН»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.Настоящий документ (далее - Политика) определяет политику в отношении обработки персональных данных смоленского областного государственного бюджетного учреждения «Гагаринский комплексный центр социального обслуживания населения» (далее - Оператор или Учреждение).

1.2.Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

1.3.Понятия, содержащиеся в ст. 3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.

1.4.Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными без использования средств автоматизации.

1.5.Основные права и обязанности Оператора.

1.5.1.Оператор имеет право:

получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

1.5.2.Оператор обязан:

обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;

рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;

предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;

принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;

организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

1.6.Основные права и обязанности субъектов персональных данных:

1.6.1.Субъекты персональных данных имеют право:

на полную информацию обихперсональных данных, обрабатываемых Оператором;

на доступ ких персональным данным, включая право наполучение копии любой записи, содержащей ихперсональные данные, заисключением случаев, предусмотренных федеральным законом;

на уточнение их персональных данных, ихблокирование или уничтожение вслучаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или неявляются необходимыми длязаявленнойцели обработки;

на отзыв согласия наобработку персональных данных;

на принятие предусмотренных законом мер позащите своих прав;

на осуществление иных прав, предусмотренных законодательством РФ.

1.6.2.Субъекты персональных данных обязаны:

предоставлять Оператору только достоверные данные о себе;

предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;

сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

1.6.3.Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

Подбор персонала,

ведение кадрового документооборота;

начисление, расчет и выдача заработной платы;

обеспечение медицинского страхования;

предоставление данных в государственные контролирующие органы (ИФНС, Пенсионный фонд, Фонд социального страхования, Федеральный Фонд медицинского страхования, воинского учета);

организация участия в обучающих и протокольных мероприятиях, оформление пропусков;

составление отчетности в государственные органы;

отправка официальных сообщений (корреспонденции от работодателя);

оформление счета, на который будет перечисляться заработная плата;

предоставление налоговых вычетов и льгот, установленных действующими нормами законодательства, а также льгот и гарантий, предусмотренных коллективным договором;

размещение информации на сайте Учреждения, информационных стендах, других общедоступных местах;

обеспечение прозрачности финансово-хозяйственной деятельности, в том числе исключения случаев конфликта интересов и иных злоупотреблений;

оказание социальных услуг (социально-бытовых, социально-медицинских, социально-психологических, социально-педагогических, социально-трудовых, социально-правовых, услуг в целях повышения коммуникативного потенциала получателей социальных услуг, имеющих ограничения жизнедеятельности, в том числе детей-инвалидов, срочных социальных услуг) в сфере социального обслуживания населения и формирования регистра получателей социальных услуг в сфере социального обслуживания населения;

оказание дополнительных услуг;

заключение, исполнение, прекращение гражданско-правовых договоров;

ведение судебно-претензионной деятельности;

осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством РФ.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.Правовыми основаниями обработки персональных данных Оператором являются:

Трудовой кодекс РФ;

Гражданский кодекс РФ;

Налоговый кодекс Российской Федерации,

Федеральный закон от 28 декабря 2013 г. N 442-ФЗ "Об основах социального обслуживания граждан в Российской Федерации",

Федеральный закон от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации",

Указ Президента РФ от 7 декабря 2012 г. N 1609 "Об утверждении Положения о военных комиссариатах" (с изменениями и дополнениями),

Федеральный закон от 25.12.2008 № 273 «О противодействии коррупции»,

Федеральный закон от 06.03.2006 № 35-ФЗ «О противодействии терроризму»,

Приказ Министерства труда и социальной защиты РФ от 30 января 2015 г. N 51н "О требованиях к размещению сведений о доходах, об имуществе и обязательствах имущественного характера руководителей федеральных государственных учреждений и членов их семей на официальных сайтах федеральных государственных учреждений (органов, осуществляющих функции и полномочия учредителей федеральных государственных учреждений) и предоставлению этих сведений общероссийским средствам массовой информации для опубликования",

Федеральный закон "Об обязательном пенсионном страховании в Российской Федерации" от 15.12.2001 N 167-ФЗ,

Федеральный закон "О бухгалтерском учете" от 06.12.2011 N 402-ФЗ,

Федеральный закон "Об обязательном медицинском страховании в Российской Федерации" от 29.11.2010 N 326-ФЗ,

Федеральный закон "О социальной защите инвалидов в Российской Федерации" от 24.11.1995 N 181-ФЗ,

Федеральный закон "О ветеранах" от 12.01.1995 N 5-ФЗ,

Федеральный закон "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" от 05.04.2013 N 44-ФЗ,

Федеральный закон "О бесплатной юридической помощи в Российской Федерации" от 21.11.2011 N 324-ФЗ,

Постановление Правительства РФ от 24 ноября 2014г. N1239 "Об утверждении Правил размещения и обновления информации о поставщике социальных услуг на официальном сайте поставщика социальных услуг в информационно-телекоммуникационной сети "Интернет",

Постановление Администрации Смоленской области от 12.09.2014 № 645 "Об утверждении Порядка предоставления социальных услуг поставщиками социальных услуг в Смоленской области",

Постановление Администрации Смоленской области от 04.06.2014г. №410 «О создании приемных семей для граждан пожилого возраста и инвалидов на территории Смоленской области»,

договора с субъектами персональных данных,

согласия на обработку персональных данных субъектов персональных данных (получателей социальных услуг и их родственников, работников) в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Оператора,

Устав смоленского областного государственного бюджетного учреждения "Гагаринский комплексный центр социального обслуживания населения",

иные основания, когда согласие на обработку персональных данных не требуется в силу закона.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.Оператор может обрабатывать персональные данные следующих субъектов персональных данных:

- Работников СОГБУ «Гагаринский КЦСОН», бывших работников, лиц, претендующим на трудоустройство, а также их ближайших родственников;

- лиц, обратившимся за предоставлением социальных услуг, их родственников и/или их представителей;

- физических лиц и (или) индивидуальных предпринимателей, выполняющих обязательства по гражданско-правовому договору,

- посетителей при осуществлении контрольно- пропускного режима.

4.2.К персональным данным, обрабатываемым Оператором, относятся:

фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, состояние здоровья;сведения о судимости, пол, гражданство, адрес регистрации, фактический адрес места жительства, серия и номер паспорта, сведения о дате выдачи и выдавшем органе, идентификационный номер налогоплательщика (ИНН), страховой номер индивидуального лицевого счёта (СНИЛС), номер расчетного счета в банке, данные об инвалидности, данные об инвалидности, серия, номер, дата выдачи справки медико-социальной экспертизы и наименование органа выдавшего справку, серия, номер, дата выдачи удостоверения ветерана труда и наименование выдавшего органа, серия, номер, дата выдачи удостоверения труженик тыла и наименование выдавшего органа, серия, номер, дата выдачи удостоверения несовершеннолетний узникфашистских концлагерей и наименование выдавшего органа, серия, номер, дата выдачи удостоверения ветерана Великой Отечественной войны и наименование выдавшего органа, серия, номер, дата выдачи удостоверения участника Великой Отечественной войны и наименование выдавшего органа, наличие детей и их фамилия, имя, отчество и дата рождения, сведения о воинском учете, образование, квалификация, профессия, учебные заведения, в которых работник учился, и периоды учебы; номер диплома, сведения о дате выдачи, сведения об опыте работы (предыдущие места работы/службы (с указанием периодов, места работы службы, должностей), сведения о доходах, контактные данные, фото, иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.Обработка персональных данных Оператором осуществляется следующими способами:

неавтоматизированная обработка персональных данных.

5.2.Перечень действий, совершаемых Оператором с персональными данными: Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), распространение, использование, передача, блокирование, удаление, уничтожение персональных данных.

5.3.Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.

5.4.Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством РФ случаях Согласие оформляется в письменной форме.

5.5.Оператор и лица, допущенные к обработке персональных данных в Учреждении получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.6.Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, выявление неправомерной обработки персональных данных, а также ликвидация Учреждения.

Обрабатываемые персональные данные подлежат уничтожениюлибо обезличиванию принаступлении следующих условий:

достижение целей обработки персональных данных илимаксимальных сроков хранения— втечение 30 дней;

утрата необходимости вдостижении целей обработки персональных данных— втечение 30 дней;

предоставление субъектом персональных данных илиего законным представителем подтверждения того, чтоперсональныеданные являются незаконно полученными илинеявляются необходимыми длязаявленной цели обработки— втечение 7 дней;

невозможность обеспечения правомерности обработки персональных данных— втечение 10 дней;

отзыв субъектом персональных данных согласия наобработку персональных данных, если сохранение персональных данныхболее нетребуется дляцелей обработки персональных данных— втечение 30 дней;

истечение сроков исковой давности дляправоотношений, врамках которых осуществляется либо осуществлялась обработкаперсональных данных;

ликвидация (реорганизация) Оператора.

5.7.Оператор при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.8.Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Сроки хранения персональных данных работников учреждения – 75 лет.

Сроки хранения персональных данных получателей услуг – 5 лет с момента достижения целей обработки персональных данных.

5.9.Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

5.10.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

5.11.Трансграничная передача персональных данных Оператором не осуществляется.

5.12. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.13. Меры, принимаемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, подразделяются на правовые, организационные и технические:

1). К правовым мерам защиты персональных данных относится принятие правовых актов СОГБУ «Гагаринский КЦСОН», в соответствии с федеральными законами в области защиты персональных данных и принятыми в их исполнение нормативными документами, закрепляющих права и обязанности субъектов информационных отношений в процессе обработки персональных данных, а также устанавливающих ответственность за нарушение этих правил.

2). К организационным мерам защиты персональных данных относятся, в том числе:

- Назначение в СОГБУ «Гагаринский КЦСОН» ответственного лица за обеспечение безопасности информации.

- Разработка и поддержание в актуальном состоянии организационно-распорядительных документов, регламентирующих порядок обработки персональных данных, создания и функционирования системы защиты персональных данных.

- Организация деятельности субъектов информационных отношений, в том числе:

· установление перечня должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

· информирование лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;

· обеспечение раздельной фиксации на материальных носителях персональных данных, имеющих различную цель обработки, или их раздельной обработки;

· обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

- Осуществление внутреннего контроля соответствия обработки и безопасности персональных данных в СОГБУ «Гагаринский КЦСОН» требованиям законодательства Российской Федерации и иных нормативных правовых актов о персональных данных, в том числе требованиям к защите персональных данных.

- Проведение мероприятий по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с персональными данными

- Обучение, периодическое повышение квалификации сотрудников, ответственных за организацию обработки и обеспечение безопасности информации, сотрудников, непосредственно выполняющих мероприятия по обеспечению безопасности персональных данных.

3). К техническим мерам защиты относится использование программно-аппаратных средств, выполняющих самостоятельно или в комплексе с другими средствами функции защиты персональных данных, и методов защиты, в том числе:

· программной или программно-технической защиты от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест, на которых обрабатываются персональные данные;

· программно-технических средств, позволяющих восстанавливать персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

· средств защиты персональных данных от утечки по техническим каналам при их обработке, хранении и передаче по каналам связи;

· средств защиты от вредоносного программного обеспечения.

5.14. В СОГБУ «Гагаринский КЦСОН» применяются сертифицированные средства защиты информации, соответствующие требованиям, установленным уполномоченными органами в области технической защиты информации.

5.15. При осуществлении хранения персональных данных, в том силе полученных при сборе персональных данных посредством информационно-телекоммуникационной сети интернет, Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1.В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно (ст.21 №152-ФЗ от 27.07.2006г. «О персональных данных»).

6.2.Факт неточностиперсональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами РФ.

6.3. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;

- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

6.4. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего (ст.20 №152-ФЗ от 27.07.2006г. «О персональных данных»).

6.5.По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

6.6.Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6.7.В порядке, предусмотренном п. 6.3, субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1.Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.

7.2.Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента утверждения руководителем Учреждения, если иное не предусмотрено новой редакцией Политики.