- Просмотров: 1
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В В ОГКУ «ЦСПН по оплате ЖКУ»
УТВЕРЖДАЮ
Директор ОГКУ "ЦСПН по оплате ЖКУ"
Новоселова Н.Г.
07.03.2023 г.
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
в ОГКУ "ЦСПН по оплате ЖКУ"
1. Термины и определения
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Общие положения
2.1 Положение об обработке и защите персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" (далее ОГКУ "ЦСПН по оплате ЖКУ") устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
2.2 Обработка персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в ОГКУ "ЦСПН по оплате ЖКУ".
2.3 Положение определяет политику ОГКУ "ЦСПН по оплате ЖКУ" как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.4 Настоящее Положение разработано в соответствии со следующими документами:
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 25.12.2008 № 273-ФЗ «О противодействии коррупции» (далее – Федеральный закон «О противодействии коррупции»);
- Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее – Федеральный закон «Об организации предоставления государственных и муниципальных услуг»);
- Федеральным законом от 02.05. 2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее – Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»);
- Федеральным законом от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;
- постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
2.5 Субъектами персональных данных являются сотрудники ОГКУ "ЦСПН по оплате ЖКУ" (далее – сотрудники), граждане, обратившиеся за социальной поддержкой, чьи персональные данные обрабатываются в информационной системе персональных данных (далее заявители).
2.6 Перечень должностей ОГКУ "ЦСПН по оплате ЖКУ", замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным определены в приложении № 1 к Положению.
2.7 Перечень мест хранения материальных носителей персональных данных и лиц, имеющих к ним доступ, утверждается отдельно приказом руководителя .
2.8 Лица непосредственно осуществляющие обработку персональных данных должны пройти инструктаж и тестирование на знание положений законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, данного Положением, иных локальных актов ОГКУ "ЦСПН по оплате ЖКУ" по вопросам обработки персональных данных, а также Правил обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Томской области и подведомственных им организациях, утвержденными губернатором Томской области, а также подписывают обязательство о неразглашении конфиденциальной информации, персональных данных, не содержащих сведений, составляющих государственную тайну (приложение № 2 к Положению).
2.9 Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" определены в приложении № 3 к Положению.
2.10 ОГКУ "ЦСПН по оплате ЖКУ" осуществляет опубликование или иным образом обеспечивает неограниченный доступ к Положению, а также доступ к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
2.11 Обработка персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
3. Правовые основания обработки персональных данных
3.1 Правовыми основаниями обработки персональных данных в связи с реализацией трудовых отношений в ОГКУ "ЦСПН по оплате ЖКУ" являются:
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Трудовой договор, заключенный между ОГКУ "ЦСПН по оплате ЖКУ" и работником;
- Согласие на обработку персональных данных работника.
3.2 Правовыми основаниями обработки персональных данных в связи с реализацией уставной деятельности в ОГКУ "ЦСПН по оплате ЖКУ" являются:
- Конституция Российской Федерации;
- Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее – Федеральный закон «Об организации предоставления государственных и муниципальных услуг»);
- Федеральный закон от 17.07.1999 № 178-ФЗ «О государственной социальной помощи» (далее – Федеральный закон «О государственной социальной помощи»);
- Устав ОГКУ "ЦСПН по оплате ЖКУ";
- иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью ОГКУ "ЦСПН по оплате ЖКУ".
4. Условия и порядок обработки персональных данных
4.1 Персональные данные субъектов персональных данных, указанных в пункте 2.5 Положения, обрабатываются в целях:
а) обеспечения кадровой работы, содействия в выполнении осуществляемой работы, обучения и должностного роста, обеспечения установленных законодательством Российской Федерации безопасных условий труда, гарантий и компенсаций, оформления награждений, в целях обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации, подачи сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы;
б) осуществления уставной деятельности ОГКУ "ЦСПН по оплате ЖКУ": оказания услуг, выполнения работ для реализации предусмотренных законодательством Российской Федерации полномочий органов государственной власти Томской области в сфере социальной поддержки и социального обслуживания граждан.
4.2 Обработка персональных данных работников осуществляется с письменного согласия, составленного по типовой форме (приложение № 4 к Положению) в рамках целей, определенных подпунктом а) пункта 4.1 Положения. Распространение персональных данных работников осуществляется с отдельного письменного согласия на распространение, составленного по типовой форме (приложение № 5 к Положению), с указанием целей распространения.
4.3 Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные представлена в приложении № 6 к Положению.
4.4 В целях, указанных в подпункте а) пункта 4.1 Положения, обрабатываются и приобщаются к личному делу следующие категории персональных данных работников:
- фамилия, имя, отчество (в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения; сведения о том, когда, где и по какой причине они изменялись);
- дата рождения (число, месяц и год рождения);
- место рождения;
- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
- классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
- государственные награды, иные награды и знаки отличия (кем награжден и когда);
- сведения о гражданстве;
- фотографии;
- адрес и дата регистрации по месту жительства (места пребывания);
- адрес фактического проживания (места нахождения);
- сведения о семейном положении, о составе семьи;
- свидетельство о рождении детей;
- сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата);
- сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);
- сведения о владении иностранными языками и языками народов Российской Федерации;
- сведения о трудовой деятельности до поступления на работу в Учреждение;
- наличие (отсутствие) судимости;
- реквизиты страхового свидетельства обязательного пенсионного страхования, содержащиеся в нем сведения;
- идентификационный номер налогоплательщика;
- сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;
- номера контактных телефонов (домашнего, служебного, мобильного);
- результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);
- сведения о наличии инвалидности;
- сведения о пребывании за границей.
4.5 Обработка персональных данных работников осуществляется сотрудниками в соответствии с их должностными инструкциями и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
4.6 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников осуществляется путем:
- непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные документы, предоставляемые в отдел кадров);
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования персональных данных в ходе кадровой работы;
- внесения персональных данных в информационные системы, используемые в ОГКУ "ЦСПН по оплате ЖКУ".
4.7 В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить его об этом заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.
4.8 Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, не предусмотренные пунктом 4.4 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.9 Передача (распространение, предоставление) и использование персональных данных работников осуществляется лишь в случаях и порядке, предусмотренных законодательством Российской Федерации.
4.10 Персональные данные граждан, обратившихся в ОГКУ "ЦСПН по оплате ЖКУ" лично, а также направивших индивидуальные или коллективные письменные обращения (жалобы) или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации». В соответствии с законодательством Российской Федерации в ОГКУ "ЦСПН по оплате ЖКУ" подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан, лиц без гражданства.
4.11 Обработке подлежат следующие персональные данные граждан:
- фамилия, имя, отчество (последнее при наличии);
- почтовый адрес;
- адрес электронной почты;
- указанный в обращении контактный телефон;
- иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.
4.12 В целях, указанных в подпункте б) пункта 4.1 Положения, обрабатываются следующие категории персональных данных заявителей и получателей социальных услуг:
- фамилия, имя, отчество, дата и место рождения, гражданство;
- прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения);
- выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);
- классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
- государственные награды, иные награды и знаки отличия (кем награжден и когда);
- степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
- места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
- фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен);
- адрес регистрации и фактического проживания;
- дата регистрации по месту жительства;
- паспорт (серия, номер, кем и когда выдан);
- паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);
- номер телефона;
- идентификационный номер налогоплательщика;
- номер страхового свидетельства обязательного пенсионного страхования;
- наличие (отсутствие) судимости;
- сведения о доходах, имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов семьи;
- сведения о последнем месте государственной или муниципальной службы (работы);
- сведения о периодах трудовой деятельности;
- сведения о размере пенсии;
- сведения о наличии (отсутствии) инвалидности;
- сведения о размере предоставленных мер социальной поддержки (денежная, натуральная форма);
- сведения об участии в индивидуальной программе реабилитации и абилитации инвалидов.
4.13 Обработка персональных данных, необходимых в связи с предоставлением социальной поддержки, социальных услуг, осуществляется структурными подразделениями ОГКУ "ЦСПН по оплате ЖКУ", ответственными за предоставление соответствующих социальных услуг, социальной поддержки и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
4.14 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, необходимых в связи с предоставлением социальной поддержки, социальных услуг, осуществляется путем:
- получения подлинников документов, необходимых для предоставления социальных услуг, в том числе заявления (обращения);
- заверения необходимых копий документов;
- размещения в Единой государственной информационной системе социального обеспечения информации о получателях социальных услуг в соответствии с Федеральным законом «О государственной социальной помощи»;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования личного дела получателя социальных услуг;
- внесения персональных данных в информационные системы, используемые в ОГКУ "ЦСПН по оплате ЖКУ".
4.15 При обработке персональных данных, необходимых в связи с предоставлением социальной поддержки, социальных услуг, запрещается запрашивать у субъектов персональных данных и третьих лиц персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
4.16 Если предоставление персональных данных является обязательным в соответствии с федеральным законом, сотрудник, принимающий документы, обязан разъяснить заявителю юридические последствия отказа предоставить персональные данные.
4.17 Не допускается разглашение информации, отнесенной законодательством Российской Федерации к информации конфиденциального характера, о получателях социальных услуг сотрудниками ОГКУ "ЦСПН по оплате ЖКУ", которым эта информация стала известна в связи с исполнением профессиональных и (или) иных обязанностей. Разглашение информации о получателях социальных услуг влечет за собой ответственность в соответствии с законодательством Российской Федерации.
4.18 С согласия получателя социальных услуг или его законного представителя, данного в письменной форме, допускается передача информации о получателе социальных услуг другим лицам, в том числе должностным лицам, в интересах получателя социальных услуг или его законного представителя, включая средства массовой информации и официальный сайт поставщика социальных услуг в информационно-телекоммуникационной сети «Интернет».
4.19 Предоставление информации о получателе социальных услуг без его согласия или без согласия его законного представителя допускается:
- по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством либо по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора;
- по запросу иных органов, наделенных полномочиями по осуществлению государственного контроля (надзора) в сфере социального обслуживания;
- при обработке персональных данных в рамках межведомственного информационного взаимодействия, а также при регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг в соответствии с законодательством об организации предоставления государственных и муниципальных услуг;
- в иных установленных законодательством Российской Федерации случаях.
5. Порядок обработки персональных данных
в автоматизированных информационных системах
5.1 Обработка персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" может осуществляться с использованием автоматизированных информационных систем персональных данных, государственных информационных систем (далее – информационные системы) перечень которых приведен в приложении №7 к Положению.
5.2 В указанных информационных системах могут содержаться и обрабатываться исключительно персональные данные, указанные в настоящем Положении.
5.3 Обеспечение безопасности информационных систем, расположенных в зоне защиты ОГКУ "ЦСПН по оплате ЖКУ", осуществляет ответственный за защиту информации, назначаемый приказом руководителя.
5.4 Перечень лиц, имеющих доступ к информационным ресурсам информационной системы персональных данных, и уровень их полномочий содержится в информационной системе в виде матрицы доступа и может быть выгружен и утверждён при необходимости.
5.5 Сотрудникам, имеющим право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями работников, имеющих право осуществлять обработку персональных данных. Информация может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
5.6 Доступ сотрудников, имеющих право осуществлять обработку персональных данных, к персональным данным, находящимся в информационных системах, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
6. Передача персональных данных в рамках
межведомственного информационного взаимодействия
6.1 ОГКУ "ЦСПН по оплате ЖКУ" в соответствии с законодательством Российской Федерации осуществляет передачу персональных данных в рамках межведомственного информационного взаимодействия с региональными органами государственной власти, территориальными органами Социального фонда России на основании заключенных соглашений с данными органами.
6.2 Взаимодействие осуществляется посредством защищенных каналов связи с системами органов, указанных в приложении №8 к Положению.
7. Порядок обработки персональных данных, осуществляемой
без использования средств автоматизации
7.1 Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.2 Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
7.3 Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
7.4 Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
7.5 Электронные носители информации, содержащие персональные данные, учитываются в журнале учета машинных носителей информации, содержащих персональные данные.
7.6 При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.7 Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
7.8 Правила, предусмотренные пунктами 7.6 и 7.7 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
7.9 Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
8. Сроки обработки и хранения персональных данных
8.1 Сроки обработки и хранения персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" определяются в соответствии с законодательством Российской Федерации, Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Росархива от 20.12.2019 № 236, Приказом Минтруда России от 25.07.2014 № 485н «Об утверждении рекомендаций по формированию и ведению регистра получателей социальных услуг», номенклатурой дел ОГКУ "ЦСПН по оплате ЖКУ".
8.2 Если сроки обработки и хранения персональных данных не установлены законодательством Российской Федерации, региональным законодательством, нормативными правовыми актами ОГКУ "ЦСПН по оплате ЖКУ", то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.
8.3 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться условия, перечисленные в пункте 7 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
8.4 Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений, сотрудники которых обрабатывают персональные данные.
8.5 Срок хранения персональных данных, внесенных в информационные системы, должен соответствовать сроку хранения бумажных оригиналов.
9. Порядок уничтожения персональных данных при достижении
целей обработки или при наступлении иных законных оснований
9.1 Руководителями, указанными в пункте 8.4 Положения, осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.
9.2 Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии по уничтожению носителей персональных данных, которая утверждается приказом руководителя ОГКУ "ЦСПН по оплате ЖКУ" (далее – комиссия).
9.3 По итогам заседания комиссии составляется протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии.
9.4 Уничтожение по окончании срока обработки персональных данных на электронных носителях производится системным администратором на основании акта комиссии.
10. Рассмотрение запросов субъектов
персональных данных или их представителей
10.1 Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ";
- правовые основания и цели обработки персональных данных;
- применяемые в ОГКУ "ЦСПН по оплате ЖКУ" способы обработки персональных данных;
- наименование и место нахождения ОГКУ "ЦСПН по оплате ЖКУ", сведения о гражданах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ОГКУ "ЦСПН по оплате ЖКУ" или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения в ОГКУ "ЦСПН по оплате ЖКУ";
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
- сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;
- наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ОГКУ "ЦСПН по оплате ЖКУ", если обработка поручена или будет поручена такой организации или лицу;
- иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.
10.2 Субъекты персональных данных вправе требовать от ОГКУ "ЦСПН по оплате ЖКУ" уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3 Информация, предусмотренная пунктом 10.1 настоящего Положения, должна быть предоставлена субъекту персональных данных в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
10.4 Информация, предусмотренная пунктом 10.1 настоящего Положения, предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:
- номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;
- информацию, подтверждающую участие субъекта персональных данных в правоотношениях с ОГКУ "ЦСПН по оплате ЖКУ", либо информацию, иным образом подтверждающую факт обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ", заверенную подписью субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.5 В случае если информация предусмотренная пунктом 10.1 Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться в ОГКУ "ЦСПН по оплате ЖКУ" лично или направить повторный запрос в целях получения указанной информации и ознакомления с персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.6 Субъект персональных данных вправе повторно обратиться в ОГКУ "ЦСПН по оплате ЖКУ" лично или направить повторный запрос в целях получения информации, предусмотренной пунктом 10.1 Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 10.5 Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 10.5 Положения, должен содержать обоснование направления повторного запроса.
10.7. ОГКУ "ЦСПН по оплате ЖКУ" (уполномоченное должностное лицо ОГКУ "ЦСПН по оплате ЖКУ") вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.5 и 10.6 Положения. Такой отказ должен быть мотивированным.
10.8 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами (пункт 8 статьи 14 Федерального закона «О персональных данных»).
10.9 Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным приведен в приложении № 9 к настоящему Положению.
11. Внутренний контроль соответствия обработки персональных
данных в ОГКУ "ЦСПН по оплате ЖКУ" установленным требованиям
11.1 В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону «О персональных данных», принятым в соответствии с ним нормативным правовым актам и локальными актами ОГКУ "ЦСПН по оплате ЖКУ" (далее – проверки).
11.2 Проверки проводятся в ОГКУ "ЦСПН по оплате ЖКУ" на основании ежегодного плана (плановые проверки) (типовая форма плана приведена в приложении № 10 к Положению) или на основании поступившего в ОГКУ "ЦСПН по оплате ЖКУ" письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Ежегодный план проверок разрабатывается и утверждается комиссией ОГКУ "ЦСПН по оплате ЖКУ" для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом «О персональных данных» (далее – комиссия).
11.3 В плане по каждой проверке устанавливаются объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
11.4 Проверки проводятся комиссией, утверждённой руководителем ОГКУ "ЦСПН по оплате ЖКУ". В проведении проверки не может участвовать работник прямо или косвенно заинтересованный в ее результатах.
11.5 Основанием для проведения внеплановой проверки является поступившее в ОГКУ "ЦСПН по оплате ЖКУ" письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.
11.6 Проведение внеплановой проверки организуется в течение пяти рабочих дней с момента поступления обращения.
11.7 Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
11.8 Члены комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
11.9 По результатам каждой проверки комиссией проводится заседание. Решения, принятые на заседаниях комиссии, оформляются протоколом (типовая форма протокола приведена в приложении № 11 к Положению) и передаются ответственному за организацию обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ".
11.10 О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю ОГКУ "ЦСПН по оплате ЖКУ" докладывает ответственный за организацию обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ";
11.11 По существу поставленных в обращении (жалобе) вопросов комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
12. Порядок доступа в помещения, в которых ведется обработка
персональных данных
12.1 К помещениям, в которых ведется обработка персональных данных (далее – помещения ПДн), относятся помещения, в которых происходит обработка персональных данных, как с использованием средств автоматизации, так и без таковых.
12.2 Доступ в помещения ПДн разрешён только сотрудникам, постоянно работающим в них, и сотрудникам, обрабатывающим персональные данные, хранящиеся в них.
12.3 На момент присутствия посторонних лиц в помещении ПДн должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными.
12.4 Бесконтрольный доступ посторонних лиц в помещения ПДн должен быть исключен.
12.5 Персональные данные, содержащиеся на бумажных носителях, должны храниться в запираемом шкафу или сейфе.
12.6 Для помещений ПДн должен быть организован режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащих персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. Данный режим должен обеспечиваться в том числе:
- запиранием помещения ПДн на ключ, в частности, при выходе из него в рабочее время. Последний сотрудник, покидающий помещение ПДн обязан закрыть его на ключ, при этом запрещается оставлять ключ в замке указанного помещения;
- запиранием помещения ПДн на ключ по окончании рабочего дня. Последний сотрудник, покидающий помещение ПДн обязан закрыть его на ключ. Ключ храниться у ответственного по помещению;
- закрытием шкафов и сейфов, где хранятся носители информации, содержащие персональные данные, на время отсутствия в помещении сотрудников ОГКУ "ЦСПН по оплате ЖКУ", замещающих должности согласно перечню.
Лица, имеющие право доступа в помещения ПДн, несут ответственность за недопущение пребывания в указанном помещении сторонних лиц.
12.7 Доступ в помещения ПДн в нерабочее время разрешен только по письменной заявке работника, согласованной с его непосредственным руководителем.
12.8 При обнаружении повреждений замков или других признаков, указывающих на возможное проникновение посторонних лиц в помещения ПДн эти помещения не вскрываются, а составляется акт и о случившемся немедленно ставятся в известность ответственный за организацию обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ", отдел по обеспечению информационной безопасности ОГКУ "ИТЦ ТО" и правоохранительные органы. Одновременно принимаются меры по охране места происшествия и до прибытия работников правоохранительных органов в эти помещения никто не допускается.
12.9 В случае нарушения порядка доступа в помещения ПДн сотрудники могут быть привлечены к ответственности в соответствии с действующим законодательством.
12.10 Текущий контроль за соблюдением порядка доступа в помещения ПДн осуществляется руководителями структурных подразделений ОГКУ "ЦСПН по оплате ЖКУ", сотрудники которых обрабатывают персональные данные (как с использованием средств автоматизации, так и без их использования).
13. Ответственный за организацию обработки
персональных данных
13.1 Ответственный за организацию обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" назначается руководителем ОГКУ "ЦСПН по оплате ЖКУ".
13.2 Деятельность ответственного лица за организацию обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" регламентируется федеральными законами и иными нормативными правовыми актами в области защиты персональных данных, актами Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, нормативными правовыми актами по эксплуатации средств защиты информации, а также правовыми актами Департамента.
13.3 Должностная инструкция ответственного за организацию обработки персональных данных приведена в приложении 12 настоящего Положения.
14. Права субъектов персональных данных в целях обеспечения защиты ПДн
14.1 Субъекты персональных данных (далее – Субъекты) не должны отказываться от своих прав на сохранение и защиту персональных данных.
14.2 Оператор, Субъекты и их представители совместно вырабатывают меры защиты персональных данных Субъектов.
14.3 Субъекты, являющиеся сотрудниками Оператора, имеют право на:
- полную информацию об их персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Субъекта, за исключением случаев, предусмотренных федеральным законом;
- определение своих Представителей для защиты своих персональных данных;
- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона.
Субъекты пользуются и иными правами, предусмотренными действующим законодательством в области персональных данных.
14.4 При отказе ОГКУ "ЦСПН по оплате ЖКУ" исключить или исправить персональные данные Субъекта, являющегося работником Оператора, он имеет право:
- заявить в письменной форме руководителю ОГКУ "ЦСПН по оплате ЖКУ" о своем несогласии с соответствующим обоснованием такого несогласия и обратиться в уполномоченный орган по защите прав субъектов персональных данных;
- требовать об извещении ОГКУ "ЦСПН по оплате ЖКУ" всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях. (Составляется в произвольной форме со ссылкой на требование об исключении или исправлении персональных данных Субъекта);
- обжаловать в суде любые неправомерные действия или бездействия ОГКУ "ЦСПН по оплате ЖКУ" при обработке и защите его персональных данных в информационной системе персональных данных;
- пользоваться иными правами, предусмотренными действующим законодательством в области защиты персональных данных.
14.5 Субъекты, не являющиеся работниками Оператора, пользуются правами в целях обеспечения защиты их персональных данных, обрабатываемых в ОГКУ "ЦСПН по оплате ЖКУ", предусмотренными действующим законодательством.
15. Доступ к персональным данным Субъекта
15.1 Доступ к персональным данным Субъекта ограничивается в соответствии с федеральными законами и настоящим Положением.
15.2 Доступ к персональным данным Субъектов имеют только сотрудники ОГКУ "ЦСПН по оплате ЖКУ", в должностные обязанности которых входит осуществление обработки персональных данных, либо осуществление доступа к персональным данным.
15.3 Представители Оператора имеют право на получение только тех персональных данных Субъекта, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией. Все остальные сотрудники Оператора, являющиеся Субъектами, имеют право на полную информацию только своих персональных данных.
15.4 Получение сведений о персональных данных Субъектов третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных, целей, для которых они будут использованы, способов обработки, иных сведений, установленных действующим законодательством, а также письменного согласия Субъекта, ПДн которого затребованы в порядке, предусмотренном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
16. Ответственность за разглашение конфиденциальной информации,
содержащей персональные данные Субъектов
Лица, виновные в нарушении действующего законодательства, нормативных правовых актов ОГКУ "ЦСПН по оплате ЖКУ", регулирующих обработку и защиту персональных данных Субъекта, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Приложение № 1
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Перечень должностей ОГКУ "ЦСПН по оплате ЖКУ",
замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
К персональным данным, обрабатываемым в ОГКУ "ЦСПН по оплате ЖКУ", для выполнения своих должностных обязанностей имеют доступ сотрудники следующих должностей:
№ п/п |
Должность |
1 |
Директор |
2 |
Заместитель директора |
3 |
Секретарь руководителя |
4 |
Главный бухгалтер |
5 |
Бухгалтер I категории |
6 |
Юрисконсульт I категории |
7 |
Инспектор по кадрам |
8 |
Начальник отдела |
9 |
Ведущий специалист по назначению, выплате мер социальной поддержки |
10 |
Cпециалист I категории по назначению, выплате мер социальной поддержки |
11 |
Ведущий специалист по контролю за назначением и выплатой мер социальной поддержки |
12 |
Специалист I категории по контролю за назначением и выплатой мер социальной поддержки |
13 |
Ведущий специалист - администратор баз данных |
14 |
Специалист I категории - администратор баз данных |
Следующие должности ОГКУ "ЦСПН по оплате ЖКУ", в соответствии со своими должностными обязанностями, могут иметь доступ к базам данных, содержащим персональные данные, но не иметь допуска к их обработке:
№ п/п |
Должность |
Приложение № 2
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Типовая форма обязательства о неразглашении конфиденциальной информации, персональных данных, не содержащих сведений, составляющих государственную тайну
Я, |
, |
||||||||
(фамилия, имя, отчество) |
|||||||||
паспорт: серия |
№ |
выдан |
г. |
||||||
, |
|||||||||
(кем выдан) |
|||||||||
зарегистрирован(а) по адресу: |
предупрежден(а) о том, что на период исполнения мною должностных обязанностей по трудовому договору, заключенному между мною и ОГКУ "ЦСПН по оплате ЖКУ", мне будет предоставлен допуск к конфиденциальной информации, персональным данным, не содержащим сведений, составляющих государственную тайну. Настоящим добровольно принимаю на себя обязательства:
1. Не разглашать третьим лицам и работникам ОГКУ "ЦСПН по оплате ЖКУ", не имеющим на это право в силу выполняемых ими должностных обязанностей конфиденциальные сведения, персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.
2. Не передавать и не раскрывать третьим лицам (за исключением случаев, когда это необходимо в целях предусмотренных законодательством Российской федерации для реализации полномочий, возложенных на ОГКУ "ЦСПН по оплате ЖКУ") и работникам ОГКУ "ЦСПН по оплате ЖКУ", не имеющим на это право в силу выполняемых ими должностных обязанностей конфиденциальные сведения, персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.
3. В случае попытки третьих лиц или работников ОГКУ "ЦСПН по оплате ЖКУ", не имеющих на это право в силу выполняемых ими должностных обязанностей получить от меня конфиденциальные сведения, персональные данные, сообщать непосредственному начальнику, а также ответственному за организацию обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ".
4. Не использовать конфиденциальные сведения, персональные данные, с целью получения выгоды.
5. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты конфиденциальных сведений, персональных данных.
Я ознакомлен (а) с требованиями по соблюдению конфиденциальности обрабатываемых мною персональных данных субъектов персональных данных и обязуюсь после прекращения моих прав на допуск к конфиденциальной информации, персональным данным (переход на должность, не предусматривающую доступ к конфиденциальной информации, персональным данным или прекращения служебного контракта (трудового договора)), не обрабатывать, не разглашать и не передавать третьим лицам и неуполномоченным на это работникам ОГКУ "ЦСПН по оплате ЖКУ", известную мне конфиденциальную информацию, персональные данные.
Я ознакомлен (а) с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Положением об обработке и защите персональных данных в ОГКУ "ЦСПН по оплате ЖКУ".
Я проинформирован (а) о факте обработки мною персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством Российской Федерации, органами исполнительной власти Томской области, а также локальными правовыми актами ОГКУ "ЦСПН по оплате ЖКУ".
Я ознакомлен (а) с предусмотренной действующим законодательством Российской Федерации ответственностью за нарушение неприкосновенности частной жизни и установленного Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Я предупрежден (а), что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
(фамилия, инициалы) |
(подпись) |
||||
« » 20 г. |
|||||
Приложение № 3
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Правила оценки вреда, который может быть причинен
субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в ОГКУ "ЦСПН по оплате ЖКУ"
1. Общие положения
Настоящие Правила оценки возможного вреда субъектам персональных данных и принятия мер по его предотвращению (далее – Правила) определяют порядок оценки вреда, который может быть причинён субъектам персональных в случае нарушения федерального законодательства по защите персональных данных, в частности Федерального закона № 152-ФЗ «О персональных данных» (Федеральный закон «О персональных данных»), и отражают соотношение указанного возможного вреда и принимаемых ОГКУ "ЦСПН по оплате ЖКУ" мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».
Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
2. Термины и определения
В настоящих Правилах используются основные понятия:
Информация – сведения (сообщения, данные) независимо от формы их представления.
Безопасность информации – состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение.
Доступность информации – состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Убытки – расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.
Моральный вред – физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
Оценка возможного вреда – определение уровня вреда на основании учёта причинённых убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.
3. Описание вреда субъектам персональных данных
Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.
Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных.
Неправомерное изменение персональных данных является нарушением целостности персональных данных.
Нарушение права субъекта требовать от ОГКУ "ЦСПН по оплате ЖКУ" уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.
Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.
Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.
Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.
Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
Субъекту персональных данных может быть причинён вред в форме убытков и/или морального вреда.
4. Методика оценки возможного вреда субъектам персональных данных
в случае нарушения Федерального закона «О персональных данных»
Оценка возможного вреда должна производиться коллегиально комиссией по защите персональных данных ОГКУ "ЦСПН по оплате ЖКУ" (далее – комиссия) в составе не менее трех человек.
В оценке возможного вреда исходить из учёта последствий допущенного нарушения принципов обработки персональных данных. Вводится четыре уровня возможного вреда:
нулевой – вред субъекту персональных данных не причиняется;
низкий – последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;
средний – последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;
высокий – во всех остальных случаях.
Каждому уровню возможного вреда сопоставляется числовая оценка, а именно:
0 – при нулевом уровне вреда;
0,05 – при низком уровне вреда;
0,1 – при среднем уровне вреда;
0,2 – при высоком уровне вреда.
Каждым членом комиссии на основании собственного субъективного мнения выставляется одна из возможных оценок возможного вреда субъекту для каждой актуальной угрозы безопасности его персональных данных из-за несанкционированного, в том числе случайного, доступа к его персональным данным.
Все коэффициенты оценок суммируются по каждой актуальной угрозе.
По значению средней оценки Вр определяется возможный вред следующим образом:
если Вр>0,9, то вред субъектам ПДн признается высоким;
если 0,5<Вр ≤0,9, то вред субъектам ПДн признается средним;
если 0,2<Вр ≤0,5, то вред субъектам ПДн признается низким;
если 0 <Вр ≤0,5, то вред субъектам ПДн признается нулевым.
5. Порядок проведения оценки возможного вреда,
а также соотнесения возможного вреда и реализуемых ОГКУ "ЦСПН по оплате ЖКУ" мер
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона «О персональных данных», соотношению указанного вреда и принимаемых ОГКУ "ЦСПН по оплате ЖКУ" мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом, осуществляется комиссией по защите персональных данных ОГКУ "ЦСПН по оплате ЖКУ" (далее – Комиссия) в соответствии с Методикой, описанной в разделе 4 настоящих Правил, с составлением акта оценки вреда, который может быть причинен субъекту персональных данных, в случае нарушения требований Федерального закона «О персональных данных» согласно Приложению к настоящим Правилам.
Состав реализуемых ОГКУ "ЦСПН по оплате ЖКУ" мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» определяется Комиссией исходя из правомерности и разумной достаточности указанных мер. При необходимости допускается привлечение сторонних экспертов в области защиты информации.
6. Требования к мерам защиты
С использованием данных обрабатываемых категориях персональных данных, на основе требований, предъявляемых к обработке персональных данных, предусмотренных действующим законодательством, формулируются и применяются конкретные организационные и технические меры защиты, которые могут быть использованы при обработке персональных данных.
Приложение № 4
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Типовая форма согласия на обработку персональных данных работников ОГКУ "ЦСПН по оплате ЖКУ"
Я, |
, |
||||||||
(фамилия, имя, отчество) |
|||||||||
паспорт: серия |
№ |
выдан |
г. |
||||||
, |
|||||||||
(кем выдан) |
|||||||||
зарегистрирован(а) по адресу: |
свободно, своей волей и в своем интересе, в соответствии с требованиями Федерального закона от 27 июня 2006 года №152-ФЗ «О персональных данных», даю согласие ОГКУ "Центр социальной поддержки населения по оплате ЖКУ" (ОГРН , ИНН ), зарегистрированному по адресу: adres, (далее – оператор) на обработку (любое действие (операцию) или совокупность действий (операций), совершаемых с использованием бумажных носителей или средств вычислительной техники, с персональными данными, включая сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение) следующих своих персональных данных (далее – ПДн):
- фамилия, имя, отчество (в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения; сведения о том, когда, где и по какой причине они изменялись);
- дата рождения (число, месяц и год рождения);
- место рождения;
- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
- классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
- государственные награды, иные награды и знаки отличия (кем награжден и когда);
- сведения о гражданстве;
- фотографии;
- адрес и дата регистрации по месту жительства (места пребывания);
- адрес фактического проживания (места нахождения);
- сведения о семейном положении, о составе семьи;
- свидетельство о рождении детей;
- сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата);
- сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);
- сведения о владении иностранными языками и языками народов Российской Федерации;
- сведения о трудовой деятельности до поступления на работу в Учреждение;
- наличие (отсутствие) судимости;
- реквизиты страхового свидетельства обязательного пенсионного страхования, содержащиеся в нем сведения;
- идентификационный номер налогоплательщика;
- сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;
- номера контактных телефонов (домашнего, служебного, мобильного);
- результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);
- сведения о наличии инвалидности;
- сведения о пребывании за границей.
(указать иные категории ПДн, в случае их обработки, или поставить прочерк) |
Вышеуказанные ПДн предоставляю для обработки в целях обеспечения соблюдения требований законодательства Российской Федерации:
- оформления и регулирования трудовых отношений;
- содействия в выполнении осуществляемой работы, обучения и должностного роста, обеспечения установленных законодательством Российской Федерации безопасных условий труда;
- отражения информации в кадровых документах;
- обеспечения установленных законодательством Российской Федерации безопасных условий труда, гарантий и компенсаций.
Я согласен(а) и уведомлен(а) о том, что на территории ОГКУ "ЦСПН по оплате ЖКУ" может вестись видеонаблюдение исключительно в целях обеспечения общественной и информационной безопасности.
Я предупрежден(а), что обработка персональных данных осуществляется с использованием бумажных носителей и средств вычислительной техники, с соблюдением принципов и правил обработки персональных данных, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также необходимых правовых, организационных и технических мер, обеспечивающих их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Об ответственности за достоверность представленных мною ПД предупрежден(а).
Я обязуюсь сообщать оператору об изменении своих персональных данных в срок, не превышающий 7 (семи) рабочих дней.
Персональные данные субъекта подлежат хранению в течение сроков, установленных законодательством Российской Федерации. Персональные данные уничтожаются:
- по достижению целей обработки персональных данных;
- при ликвидации или реорганизации оператора;
- на основании письменного обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных.
Оператор прекратит обработку таких персональных данных в течение 3 (трех) рабочих дней, о чем будет направлено письменное уведомление субъекту персональных данных в течение 10 (десяти) рабочих дней.
Настоящее согласие на обработку персональных данных действует с момента его представления оператору до «___» __________ 20__ года или на период действия трудового договора и может быть отозвано мной в любое время путем подачи оператору заявления в простой письменной форме.
Мне разъяснены юридические последствия отказа предоставить свои персональные данные уполномоченным на обработку персональных данных лицам ОГКУ "ЦСПН по оплате ЖКУ".
(дата) |
(подпись) |
(ФИО) |
Приложение № 5
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Типовая форма согласия на обработку персональных данных,
разрешенных субъектом персональных данных для распространения
Я, |
, |
|||||||||
(фамилия, имя, отчество) |
||||||||||
паспорт: серия |
№ |
выдан |
г. |
|||||||
, |
||||||||||
(кем выдан) |
||||||||||
зарегистрирован(а) по адресу: |
||||||||||
телефон |
электронная почта |
|||||||||
руководствуясь ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», даю согласие на распространение ОГКУ "ЦСПН по оплате ЖКУ", расположенным по адресу: г. Томск, ул. Тверская,74 (ИНН , ОГРН ), моих персональных данных с целью
(указать цель распространения персональных данных) |
(указать куда распространяются персональные данные) |
Категория персональных данных |
Перечень персональных данных |
Разрешаю к распространению неограниченному кругу лиц (да/нет) |
Условия и запреты (вписать «запрет» или указать условия) |
Дополнительные условия |
Общедоступные, специальные или биометрические |
Сведения о способах, которыми ОГКУ "ЦСПН по оплате ЖКУ" предоставляет доступ к моим персональным данным неограниченному кругу лиц:
Способ, информационный ресурс |
Действия с персональными данными |
||
Настоящее согласие дано мной добровольно и действует до |
|||
(указать дату или событие) |
|||
Я имею право письменно потребовать прекратить распространять мои персональные данные.
В случае получения требования ОГКУ "ЦСПН по оплате ЖКУ" обязан немедленно прекратить распространять мои персональные данные, а также сообщить перечень третьих лиц, которым персональные данные были переданы.
(дата) |
(подпись) |
(ФИО) |
Приложение № 6
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Типовая форма
разъяснения субъекту персональных данных юридических
последствий отказа предоставить свои персональные данные
Я, |
, |
||||||||
(фамилия, имя, отчество) |
|||||||||
паспорт: серия |
№ |
выдан |
г. |
||||||
, |
|||||||||
(кем выдан) |
|||||||||
зарегистрирован(а) по адресу: |
в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 года №152-ФЗ "О персональных данных" настоящим подтверждаю, что мне разъяснены юридические последствия отказа предоставить свои персональные данные.
(дата) |
(подпись) |
(ФИО) |
Приложение № 7
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Перечень ИСПДн, используемых в ОГКУ "ЦСПН по оплате ЖКУ"
В ОГКУ "ЦСПН по оплате ЖКУ" персональные данные обрабатываются в следующих информационных системах:
№ п/п |
Информационная система персональных данных |
1 |
АС «Единая Система Социальной защиты населения Томской области» |
2 |
«1C Предприятие 8» Конфигурация: Зарплата и кадры бюджетного учреждения |
3 |
АИС "ВУБ" |
4 |
АС «Сбербанк Бизнес ОнЛ@йн» |
Приложение № 8
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Перечень каналов передачи ПДн
В ОГКУ "ЦСПН по оплате ЖКУ" персональные данные передаются по следующим каналам передачи:
№ п/п |
Получатель ПДн |
Способ передачи |
1 |
Социальный фонд России |
Защищённый канал VipNet |
Приложение № 9
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Регламент реагирования на запросы по предоставлению информации,
уточнению, блокировке, уничтожению персональных данных
В соответствии с Федеральным законом №152-ФЗ в ОГКУ "ЦСПН по оплате ЖКУ" приняты следующие сроки ответов на запросы:
№ п/п |
Запрос |
Действия |
Срок |
Ответ |
1. Запрос субъекта персональных данных или его представителя |
||||
1.1 |
Наличие ПДн |
Подтверждение обработки ПДн |
30 дней |
Подтверждение обработки ПДн |
Отказ в предоставлении информации о наличии ПДн |
30 дней |
Уведомление об отказе в предоставлении информации о наличии ПДн |
||
1.2 |
Ознакомление с ПДн |
Предоставление информации по ПДн |
30 дней |
Подтверждение обработки ПДн, а также правовые основания и цели такой обработки |
Способы обработки ПДн |
||||
Сведения о лицах, которые имеют доступ к ПДн |
||||
Перечень обрабатываемых ПДн и источник их получения |
||||
Сроки обработки ПДн, в том числе сроки их хранения |
||||
Информация об осуществленной или о предполагаемой трансграничной передаче |
||||
Иные сведения в соответствии со статьей 14 Федерального закона № 152-ФЗ |
||||
Отказ предоставления информации по ПДн |
30 дней |
Уведомление об отказе в предоставлении информации по ПДн |
||
1.3 |
Уточнение ПДн |
Изменение ПДн |
7 рабочих дней |
Уведомление о внесенных изменениях |
1.4 |
Уничтожение ПДн |
Уничтожение ПДн |
7 рабочих дней |
Уведомление об уничтожении |
1.5 |
Отзыв согласия на обработку ПДн |
Прекращение обработки и уничтожение ПДн |
30 дней |
Уведомление о прекращении обработки и уничтожении ПДн |
1.6 |
Недостоверность ПДн субъекта |
Блокировка ПДн |
Сразу после получения запроса |
Уведомление о внесенных изменениях |
Уточнение ПДн |
7 рабочих дней |
|||
Снятие блокировки ПДн |
||||
1.7 |
Неправомерность действий с ПДн субъекта |
Прекращение неправомерной обработки ПДн |
3 рабочих дня |
Уведомление об устранении нарушений |
Уничтожение ПДн в случае невозможности обеспечения правомерности обработки |
10 рабочих дней |
Уведомление об уничтожении ПДн |
||
1.8 |
Достижение целей обработки ПДн субъекта |
Прекращение обработки ПДн. Уничтожение ПДн |
30 дней |
Уведомление об уничтожении ПДн |
2. Запрос уполномоченного органа по защите прав субъектов ПДн |
||||
2.1 |
Информация для осуществления деятельности уполномоченного органа |
Предоставление затребованной информации по ПДн |
30 дней |
Предоставление затребованной информации по ПДн |
2.2 |
Недостоверность ПДн |
Блокировка ПДн |
Сразу после получения запроса |
Уведомление о внесенных изменениях |
Уточнение ПДн |
7 рабочих дней |
|||
Снятие блокировки ПДн |
||||
2.3 |
Неправомерность действий с ПДн |
Прекращение неправомерной обработки ПДн |
3 рабочих дня |
Уведомление об устранении нарушений |
Уничтожение ПДн в случае невозможности обеспечения правомерности обработки |
10 рабочих дней |
Уведомление об уничтожении ПДн |
Приложение № 10
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
План внутренних проверок условий обработки персональных данных
ОГКУ "ЦСПН по оплате ЖКУ"
(примерная форма)
№ п/п |
Тема проверки |
Нормативный документ, предъявляющий требования |
Срок |
Исполнитель |
1 |
Соответствие полномочий |
Разрешительная матрица доступа, Положение по администрированию АС "ЕС СЗН" |
||
2 |
Соблюдение пользователями |
Положение об обработке и защите персональных данных, Политика информационной безопасности, Парольная политика |
||
3 |
Соблюдение пользователями |
|||
4 |
Знание пользователей правил работы с ПДн |
Положение об обработке и защите персональных данных, журнал учёта обучения пользователей |
||
5 |
Знание пользователей ИСПДн о |
Инструкция пользователя ИСПДн |
||
6 |
Хранение бумажных носителей |
Положение об обработке и защите персональных данных |
||
7 |
Доступ к бумажным носителям |
|||
8 |
Учёт машинных носителей информации, содержащих ПДн |
Положение об обработке и защите персональных данных, журнал учёта машинных носителей |
||
9 |
Доступ к ПДн, хранящимся на сервере |
Перечень мест хранения персональных данных |
||
10 |
Актуализация перечня каналов передачи ПДн |
Положение об обработке и защите персональных данных |
||
11 |
Актуализация перечня используемых ИСПДн |
Положение об обработке и защите персональных данных |
Должность ответственного __________________ И.О. Фамилия
Приложение № 11
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Типовая форма протокола
проведения внутренней проверки условий обработки
персональных данных
Настоящий Протокол составлен в том, что «__» _______________ 20__ г. ответственным за организацию обработки персональных данных (комиссией по внутреннему контролю) проведена проверка ___________________________________.
(тема проверки)
Проверка осуществлялась в соответствии с требованиями
___________________________________________________________________________
___________________________________________________________________________
В ходе проверки проверено:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Выявленные нарушения:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Меры по устранению нарушений:
___________________________________________________________________________
___________________________________________________________________________
Срок устранения нарушений: ____________________.
Ответственный за организацию обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ"
_______________ ФИО
Члены комиссии:
Должность _______________ ФИО
Должность _______________ ФИО
Должность _______________ ФИО
Приложение № 12
к Положению об обработке и защите персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
Должностная инструкция
ответственного за организацию обработки персональных данных
в ОГКУ "ЦСПН по оплате ЖКУ"
1. В ОГКУ "Центр социальной поддержки населения по оплате ЖКУ" (далее – ОГКУ "ЦСПН по оплате ЖКУ") назначается лицо, ответственное за организацию обработки персональных данных (далее – ПДн).
2. Деятельность ответственного лица за организацию обработки ПДн в ОГКУ "ЦСПН по оплате ЖКУ" регламентируется федеральными законами и иными нормативными правовыми актами в области защиты ПДн, актами Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, нормативными правовыми актами по эксплуатации средств защиты информации.
3. Ответственный за обработку персональных данных обязан:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в ОГКУ "ЦСПН по оплате ЖКУ", от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
- осуществлять внутренний контроль за соблюдением лицами, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения лиц, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в ОГКУ "ЦСПН по оплате ЖКУ";
- принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
4. Ответственный за обработку персональных данных вправе:
а) иметь доступ к информации, касающейся обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов персональных данных, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых в ОГКУ "ЦСПН по оплате ЖКУ" способов обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
б) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в ОГКУ "ЦСПН по оплате ЖКУ", работников с возложением на них соответствующих обязанностей.
5. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных в ОГКУ "ЦСПН по оплате ЖКУ" в соответствии с законодательством Российской Федерации в области персональных данных.