Обработка персональных данных МАУ "ДИА"

15.12.2014 15:19

УТВЕРЖДЕНО

Приказом МАУ «ДИА»

от «09» января 2012 г. №3

 

 

 

Политика

Муниципального автономного учреждения

«Даниловское информационное агентство» в отношении обработки персональных данных

 

  1. Общие положения

1.1. Политика в отношении обработки персональных данных в муниципальном автономном учреждении ««Даниловское информационное агентство» (далее – Политика) разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом "Российской Федерации, Федеральным законом от 27.07.2006  № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Указом Президента Российской Федерации от 06.03.1997 188 «Об утверждении перечня сведений конфиденциального характера», Постановлением Правительства Российской Федерации от 15.09.2008 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и другими нормативными правовыми актами, регулирующими отношения, связанные с обработкой персональных данных.

1.3. Политика определяет:

правила обработки персональных данных в информационных системах персональных данных муниципального автономного учреждения «Даниловское информационное агентство» (далее по тексту – МАУ «ДИА») с использованием средств автоматизации и без их использования;

порядок обработки персональных данных, а также комплекс организационных и технических мероприятий, направленных на обеспечение режима конфиденциальности персональных данных лиц, претендующих на замещение должностей МАУ «ДИА», работников «ДИА», а также иных физических лиц, персональные данные которых предоставлены в рамках предоставления государственных и муниципальных услуг, оказываемых на базе МАУ «МФЦ» (далее – субъекты персональных данных).

1.4. В Политике используются термины и определения, установленные в Федеральном законе Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».

1.5. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.

1.6. Оператором информационных систем персональных данных, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных, является МАУ «ДИА».

Функции оператора возлагаются на структурные подразделения МАУ «ДИА», осуществляющие деятельность по эксплуатации информационных систем персональных данных.

1.7. Оператор обязан принимать необходимые организационные и технические меры по обеспечению режима конфиденциальности обрабатываемых персональных данных, а также меры по защите персональных данных от несанкционированного уничтожения, изменения, блокирования и иных неправомерных действий.

1.8. Под персональными данными работника МАУ «ДИА» понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность и содержащиеся в личном деле работника либо подлежащие включению в его личное дело.

Персональные данные работника содержатся:

- в документах, приобщаемых к личному делу работника;

- в личной карточке формы Т-2;

- в трудовой книжке;

- в иных документах на бумажном носителе (а также на электронных носителях), содержащих персональные данные и иные сведения, связанные с поступлением на работу, ее выполнением, увольнением и необходимые для обеспечения деятельности МАУ «ДИА».

1.9. Персональные данные иных физических лиц, представленные в МАУ «ДИА» в рамках создания телевизионных передач, содержатся в документах, связанных с обращением указанных лиц (на бумажных носителях), а также в автоматизированных информационных системах (в электронном виде).

1.10. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.

 

  1. Порядок сбора персональных данных

 

2.1. Получение персональных данных должно осуществляться лично у субъектов персональных данных.

Если персональные данные возможно получить только у третьей стороны, субъект персональных данных уведомляется об этом заранее и от него должно быть получено письменное согласие (либо письменный отказ), которое субъект персональных данных должен дать в течение 5 (пяти) рабочих дней со дня получения соответствующего уведомления.

Уведомление должно содержать информацию о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

2.2. Персональные данные должны быть подтверждены соответствующими подлинными документами, установленными действующим законодательством, или выписками (копиями) документов, заверенных в установленном порядке.

2.3. Субъект персональных данных (работник МАУ «ДИА») обязан своевременно информировать МАУ «ДИА» об изменениях персональных данных, возникших в период трудовых отношений и необходимых для дальнейшего ее осуществления (сведения об изменении паспортных данных, о повышении уровня образования, переподготовке, профессиональной подготовке, повышении квалификации, изменении места жительства, семейного положения и др.).

 

3. Требования безопасности информации в информационных

системах персональных данных МАУ«ДИА»

 

3.1. Персональные данные субъектов персональных данных обрабатываются в МАУ «ДИА» на бумажных и электронных носителях в предназначенном для этого помещении, занимаемых структурными подразделениями МАУ«ДИА», осуществляющими деятельность по эксплуатации информационных систем персональных данных.

3.2. Обязанности по обработке персональных данных, в том числе в автоматизированных информационных системах персональных данных, возлагаются на работников структурных подразделений МАУ «ДИА» в соответствии с приказами директора МАУ «ДИА», трудовыми договорами, заключенными с ними, и должностными инструкциями.

3.3. Обработка персональных данных, порождающая юридические последствия в отношении субъекта персональных данных или иным образом затрагивающая его права и законные интересы, осуществляется без использования средств автоматизации. Обработка персональных данных в отношении каждого из субъектов персональных данных осуществляется при непосредственном участии лица, определенного в соответствии с пунктом 3.2 настоящей Политики.

3.4. В целях обеспечения безопасности персональных данных при их обработке должны быть:

- соблюдены условия, обеспечивающие их сохранность и исключающие несанкционированный к ним доступ, в том числе с использованием средств опечатывания помещений, сейфов, шкафов и применения охранной и пожарной сигнализации;

- установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- реализованы меры по раздельному хранению персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.6. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

утвержденных организационно-технических документов, установленных нормативными правовыми актами и локальными актами МАУ «ДИА» в области защиты информации;

настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными уполномоченными федеральными органами исполнительной власти.

 

4. Порядок обработки персональных

данных субъектов персональных данных

 

4.1. Обработка персональных данных лиц, претендующих на замещение должностей МАУ «ДИА» и работников МАУ «ДИА», осуществляется в целях:

формирования и ведения кадрового резерва «ДИА»;

содействия работникам в выполнении ими своих должностных обязанностей;

обучения работников;

предоставления работникам льгот и выплат, предусмотренных действующим законодательством и внутренними локальными актами МАУ «ДИА»;

обеспечения личной безопасности работников;

учета результатов исполнения ими должностных обязанностей.

4.2.Обработка персональных данных лиц, претендующих на замещение должностей МАУ «ДИА», и работников МАУ «ДИА», осуществляется в следующем порядке:

4.2.1. Материальные носители, содержащие сведения, относящиеся к персональным данным, должны храниться в сейфах или шкафах, запирающихся на ключ. Ключи от сейфов и шкафов находятся у работников МАУ «ДИА», осуществляющих обработку персональных данных, и не подлежат передаче не уполномоченным на то лицам.

4.2.2.Сейфы (металлические шкафы) с личными делами, трудовыми книжками и иными документами, содержащими персональные данные, находятся в специально оборудованном кабинете, который ежедневно после окончания рабочего дня закрывается.

4.2.3.Электронные носители, на которых хранятся персональные данные субъектов персональных данных и входящие в автоматизированную информационную систему персональных данных, должны:

- быть объединены в отдельные от общей локальные сети, доступ к которым ограничен;

- иметь средства защиты от неправомерного или случайного доступа к хранящимся на них персональным данным.

4.2.4. Персональные данные работников, в течение всего периода их работы в МАУ «ДИА», хранятся у бухгалтерии МАУ «ДИА».

4.2.5. После увольнения работника его персональные данные, содержащиеся:

на бумажных носителях - хранятся у специалиста по кадрам, бухгалтерии МАУ «ДИА» в течение сроков, установленных действующим законодательством.

4.2.6. Персональные данные лиц, претендующих на замещение должностей МАУ «ДИА», хранятся у специалиста по кадрам в течение 3 (трех) лет с момента их получения, а затем уничтожаются.

4.2.7. На основании статьи 86 Трудового кодекса РФ, а также, исходя из положений пункта 2 статьи 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», обработка персональных данных осуществляется МАУ «ДИА» без письменного согласия работника в следующих случаях:

  1. обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

  2. обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

  3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

  4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

Работники МАУ «ДИА» обязаны обеспечивать конфиденциальность персональных данных граждан, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.

4.3. Обработка персональных данных физических лиц, не являющихся работниками МАУ «ДИА», осуществляется в целях:

предоставления гражданам государственных и муниципальных услуг, оказываемых на базе МАУ «ДИА» в соответствии с Соглашениями о взаимодействии, заключенными между «ДИА» и территориальными органами федеральных органов исполнительной власти, органами государственной власти области, органами местного самоуправления и организациями, участвующими в предоставлении государственных и муниципальных услуг;

выполнения договорных обязательств МАУ «ДИА» перед контрагентами, предоставления возможности работникам контрагентов выполнять обязанности, предусмотренные договорами и контрактами.

4.4. Обработка персональных данных физических лиц, не являющихся работниками МАУ «ДИА», представляемых в МАУ «ДИА», осуществляется в следующем порядке:

4.4.1. Персональные данные обрабатываются в информационных системах МАУ «ДИА» в целях осуществления деятельности МАУ «ДИА», а также в иных установленных федеральными законами целях.

4.4.2. Документы, содержащие персональные данные, обрабатываются в соответствии с федеральными законами, указами Президента Российской Федерации, Постановлениями Правительства Российской Федерации, иными нормативными правовыми актами Российской Федерации и Ярославской области, устанавливающими цели и порядок обработки персональных данных.

4.5. Обработка персональных данных, содержащихся в информационной системе персональных данных, либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных, либо были извлечены из нее.

4.6. МАУ «ДИА» не имеет права получать и обрабатывать персональные данные физических лиц об их политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации МАУ «ДИА» вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

МАУ «ДИА» не имеет права получать и обрабатывать персональные данные физических лиц об их членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

При принятии решений, затрагивающих интересы физических лиц, МАУ «ДИА» не имеет права основываться на персональных данных граждан, полученных исключительно в результате их автоматизированной обработки или электронного получения.

 

5. Доступ к информационным системам персональных данных

 

5.1. Доступ ко всем персональным данным, обрабатываемым в МАУ «ДИА», имеют лица, замещающие должности, а также исполняющие обязанности:

- директор МАУ «ДИА»;

- главный бухгалтер.

5.2. Право на свободный бесплатный доступ к своим персональным данным имеют работники МАУ «ДИА», включая право на ознакомление с персональными данными, содержащимися в личном деле работника, на получение надлежаще заверенных копий документов, связанных с выполнением работы, а также копии любой записи, содержащей персональные данные работника.

 

6. Распространение персональных данных субъектов персональных данных

 

6.1. Персональные данные могут распространяться в соответствии с требованиями, установленными действующим законодательством и настоящей Политикой.

Лица, указанные в пункте 5.1. настоящей Политики, имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.

6.2. При распространении персональных данных субъектов персональных данных оператор должен соблюдать следующие требования:

6.2.1. Распространение (в том числе передача) персональных данных субъектов персональных данных осуществляется:

6.2.1.1. Лицам, которые в соответствии с пунктом 5.1. настоящей Политики имеют право доступа к персональным данным, - по их запросу либо в случае направления им для рассмотрения соответствующих обращений граждан.

6.2.1.2. При согласовании проектов приказов МАУ «ДИА», приказов директора и договоров по кадровым вопросам (в отношении персональных данных, необходимых для подготовки соответствующего проекта) - лицам, указанным в пунктах 5.1. настоящей Политики, с которыми согласовывается соответствующий проект.

6.2.1.3. При приеме, обработке и передаче принятых у заявителей документов в рамках предоставления государственных и муниципальных услуг, оказываемых на базе МАУ «ДИА» (в отношении персональных данных физических лиц, являющихся заявителями, а также персональных данных лиц, не являющихся заявителями, но указанных в предоставляемых заявителями документах) – лицам, указанным в 5.1. настоящей Политики.

6.3. Предоставление персональных данных третьей стороне осуществляется по письменному запросу и при получении письменного согласия субъекта персональных данных, за исключением случаев, когда представление персональных данных необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных федеральными законами.

6.4. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных.

6.5. Запрещается сообщать персональные данные субъектов персональных данных в коммерческих целях, в том числе в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации без письменного согласия субъекта персональных данных.

6.6. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

6.7. В случае если оператор на основании договора поручает обработку или осуществляет передачу персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

6.8. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.

 

7. Хранение персональных данных

 

  1. Персональные данные субъектов хранятся в информационных системах персональных данных.

Персональные данные хранятся как в электронном виде, так и на бумажных носителях. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается системой защиты персональных данных.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним со стороны посторонних лиц.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности МАУ «ДИА», заявители (посетители), работники других организаций, а также работники МАУ «ДИА», не имеющие допуска к персональным данным.

  1. Работник МАУ «ДИА», имеющий доступ к персональным данным в связи с исполнением должностных обязанностей, обеспечивает хранение информации и документов, содержащих персональные данные, исключающее доступ к ним посторонних лиц.

В отсутствие работника и после окончания рабочего дня на его рабочем месте не должно быть документов, содержащих персональные данные. В данном случае документы должны быть помещены работником в сейф (металлический шкаф), запирающийся на ключ.

При входе посторонних лиц в помещения работники МАУ «ДИА», работающие в данный момент с документами, содержащими персональные данные, обязаны немедленно совершить необходимые действия по исключению возможности посторонних лиц ознакомиться с содержащимися в указанных документах персональными данными (перевернуть документы содержимым вниз, закрыть их какими-либо предметами либо временно убрать их со стола в тумбочку или шкаф).

Передача документов, содержащих персональные данные, производится работником в случае служебной необходимости и только работнику МАУ «ДИА», имеющему доступ к персональным данным в связи с исполнением должностных обязанностей.

Запрещается вынос из здания МАУ «ДИА» документов, содержащих персональные данные, за исключением случаев передачи в уполномоченные органы принятых у физических лиц документов в рамках предоставления государственных и муниципальных услуг, оказываемых на базе МАУ «ДИА». Передача документов в уполномоченные органы осуществляется уполномоченными работниками МАУ «ДИА» в порядке, установленном Соглашениями о взаимодействии и Порядками предоставления соответствующих государственных и муниципальных услуг.

Работник обязан исключить несанкционированный доступ к техническим средствам обработки персональных данных. Персональный компьютер, в котором содержатся персональные данные, должен иметь защитный пароль, или другие средства защиты от несанкционированного доступа. При временном отсутствии работника на своем рабочем месте в течение рабочего дня экран монитора его персонального компьютера должен быть заблокирован. В случае длительного отсутствия работника на своем рабочем месте в течение рабочего дня и после окончания рабочего дня его персональный компьютер должен быть выключен.

При входе посторонних лиц в помещения работники МАУ «ДИА», работающие в данный момент на персональном компьютере с информационными системами, содержащими персональные данные, обязаны немедленно совершить необходимые действия по исключению возможности посторонних лиц ознакомиться с содержащейся на мониторе информацией (временно заблокировать систему или выключить экран монитора).

При уходе в отпуск, нахождении в служебной командировке и в иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные лицу, на которого локальным актом «ДИА» (приказом) будет возложено исполнение его должностных обязанностей, либо начальнику структурного подразделения «ДИА».

При увольнении работника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным.

В случае установления факта утраты работником документов, ключей от сейфов (шкафов), данная информация незамедлительно доводится до директора МАУ «ДИА», после чего принимаются меры к поиску документов, ключей от сейфов (шкафов). Для служебного расследования факта утраты документов, ключей от сейфов (шкафов) на основании приказа директора МАУ «ДИА» создается комиссия.

  1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Блокирование и уничтожение персональных данных

 

В случае выявления недостоверных персональных данных гражданина или неправомерных действий с ними работников МАУ «ДИА» при обращении или по запросу гражданина, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, необходимо осуществить блокирование персональных данных, относящихся к соответствующему гражданину, с момента такого обращения или получения такого запроса на период проверки.

В случае подтверждения факта недостоверности персональных данных гражданина на основании документов, представленных субъектом персональных данных, или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных документов необходимо уточнить персональные данные и снять их блокирование.

В случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, необходимо устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, необходимо уничтожить персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных МАУ «ДИА» обязано уведомить субъекта персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

 

9. Ответственность за нарушение норм, регулирующих

порядок хранения и распространения персональных данных

 

В соответствии со статьей 90 Трудового кодекса Российской Федерации, статьей 24 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных граждан, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Дисциплинарная ответственность работников регулируется статьями 192-195 Трудового кодекса Российской Федерации.

В соответствии с подпунктом «в» пункта 6 статьи 81 Трудового кодекса Российской Федерации трудовой договор с работником может быть расторгнут по инициативе работодателя (представителя нанимателя) в случае однократного грубого нарушения работником трудовых обязанностей, в том числе, разглашения персональных данных другого работника.

 

 

 



| + -