Политика защиты и обработки персональных данных учреждения

ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Государственного бюджетного учреждения Архангельской области для детей-сирот и детей, оставшихся без попечения родителей, «Коношский детский дом»

 

1.Общие положения

1.1. Политика обработки персональных данных в ГБУ АО «Коношский детский дом» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, функции ГБУ АО «Коношский детский дом» (далее – Учреждение) при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Учреждении требования к защите персональных данных.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Учреждении вопросы обработки персональных данных работников Учреждения и других субъектов персональных данных.

1.4. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
 

 

2.Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика обработки персональных данных в ГБУ АО «Коношский детский дом»

2.1. Политика обработки персональных данных в Учреждении  определяется в соответствии со следующими нормативными правовыми актами:

- Трудовой кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

2.2. В целях реализации Политики в ГБУ АО «Коношский детский дом» разрабатываются соответствующие локальные нормативные акты:

- положение об обработке персональных данных работников в ГБУ АО «Коношский детский дом»;

- положение об обработке персональных данных воспитанников в ГБУ АО «Коношский детский дом»;

- инструкция пользователя при обработке персональных данных без средств автоматизации;

- перечень должностей структурных подразделений Учреждения, при замещении которых осуществляется обработка персональных данных.

 

3.Понятие и состав персональных данных

 

3.1.Персональные данные – любая информация, относящаяся к прямо

или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.2. Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

3.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

3.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

3.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

3.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3.10. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

4.Принципы и цели обработки персональных данных

 

4.1.ГБУ АО «Коношский детский дом»

 персональных данных, (полная информация  - полное название: государственное бюджетное учреждение Архангельской области для детей-сирот и детей, оставшихся без попечения родителей, «Коношский детский дом», сокращенное название: ГБУ АО «Коношский детский дом», адрес местонахождения: 164012, Архангельская область, Коношский район, рп. Коноша, ул. Сельскохозяйственная, д. 1; телефон/факс: 8(81858) 2-34-35, 2-34-76; e-mail: kon-dd@yandex.ru, сайт: http://коношскийдетскийдом.сайт-оу.рф/ ) осуществляет обработку персональных данных работников Учреждение и других субъектов персональных данных, не состоящих с Учреждением в трудовых отношениях с использованием средств автоматизации (автоматизированная обработка), и без использования таких средств (неавтоматизированная обработка).

4.2.Обработка персональных данных в Учреждении осуществляется

 с учетом необходимости обеспечения защиты прав и свобод работников Учреждения и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

- обработка персональных данных осуществляется в Учреждении на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

- в Учреждении принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором;

- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

- личной ответственности сотрудников Учреждения за сохранность и конфидициальность  персональных данных, а также носителей этой информации.

4.3.Цель данной Политики – обеспечение прав граждан при обработке

 их персональных данных, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных Субъектов.

4.4.Политика действует в отношении персональных данных,

 сообщаемых работниками учреждения, детьми и их родителями (законными представителями), и иных граждан, обращающимися в учреждение.

      4.5  В рамках настоящей Политики под обрабатываемыми персональными данными понимаются:

- персональные данные, которые получены при зачислении детей в Учреждение;

- персональные данные, которые граждане, выразившие желание стать опекунами или попечителями либо принять детей, оставшихся без попечения родителей, в семью на воспитание в иных установленных семейным законодательством формах сообщили о себе при проведении консультирования специалистами для подготовке граждан, выразивших желание стать опекунами или попечителями несовершеннолетних граждан, либо принять детей, оставшихся без попечения родителей, в семью на воспитание в иных установленных семейным законодательством РФ формах;

- персональные данные работников Учреждения;

- персональные данные граждан, обращающиеся в Учреждение.

К персональным данным субъекта, которые обрабатывает Учреждение относятся:

- фамилия, имя, отчество;

- пол;

- дата и место рождения;

- адреса регистрации по месту жительства и фактического проживания;

- паспортные данные;

- номера телефонов;

- сведения об образовании, профессиональной переподготовке, повышении квалификации;

- данные о семейном положении, составе семьи, необходимые для предоставления законодательно установленных льгот;

- отношение к воинской обязанности;

- сведения о трудовом стаже, предыдущих местах работы, доходах на предыдущих местах работы;

- СНИЛС;

- ИНН;

- сведения о событиях, связанных с моей трудовой деятельностью в учреждении;

- данные о доходах субъекта в учреждении;

- данные свидетельства о рождении;

- информация о деловых качествах субъекта;

- результаты успеваемости и тестирования;

- номер класса;

- данные о состоянии здоровья;

- биометрические данные (фотографическая карточка);

 - иная необходимая информация, которую Субъект добровольно сообщает о себе для получения услуг предоставляемых Учреждением, если ее обработка не запрещена законом.

4.6. При наличии законных оснований получателем персональных данных субъекта могут являться:

- налоговые органы;

- Пенсионный Фонд РФ;

- Фонд социального страхования РФ;

- Федеральная служба государственной статистики РФ;

- Фонд обязательного медицинского страхования РФ;

- правоохранительные органы;

- банки и иные кредитные организации;

4.7. Срок хранения документов, содержащих персональные данные, определяется «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденный Приказом Министерства культуры РФ и в иных случаях, предусмотренных законодательством РФ.

4.8. Трансграничная передача персональных данных не осуществляется.

4.9. Лица, ответственные за организацию обработки персональных данных в учреждении:

- документовед – ответственный за организацию обработки персональных данных работников учреждения и граждан, их объединений по обращениям;

-  социальный педагог - ответственный за организацию обработки персональных данных воспитанников;

           - заместитель директора по УВР, руководитель Уполномоченной службы - ответственный за организацию обработки персональных данных граждан, необходимые для оказания услуг по подготовке граждан, выразивших желание стать опекунами или попечителями несовершеннолетних граждан, либо принять детей, оставшихся без попечения родителей, в семью на воспитание в иных установленных семейным законодательством РФ формах. (Приложение № 3)

 

5.Цели сбора и обработки данных

 

5.1. Учреждение собирает, обрабатывает и хранит персональные данные детей с целью воспитания и обучения детей-сирот и детей, оставшихся без попечения родителей, подготовки их к будущей самостоятельной жизни и профессиональной деятельности.

5.2. Учреждение собирает, обрабатывает и хранит персональные данные работников, необходимые для исполнения трудового договора и осуществления прав и обязанностей в соответствии с законодательством Российской Федерации. (Приложение № 1)

5.3. Учреждение собирает, обрабатывает и хранит персональные данные граждан, необходимые для оказания услуг по подготовке граждан, выразивших желание стать опекунами или попечителями несовершеннолетних граждан, либо принять детей, оставшихся без попечения родителей, в семью на воспитание в иных установленных семейным законодательством РФ формах.

5.4. Учреждение собирает данные только в объеме, необходимом для достижения выше названных целей.

5.5. Передача третьим лицам персональных данных без письменного согласия не допускается. (Приложение № 2)

5.6. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

5.7. Сотрудники, в обязанность которых входит обработка персональных данных Субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой.

5.8. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

5.9. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

 

6. Правовые основания обработки персональных данных

 

6.1. При обработке персональных данных Работников, Учреждение руководствуется следующими нормативно-правовыми актами:

- Трудовой кодекс Российской Федерации (N 197-ФЗ от 30.12.2001);

- Налоговый кодекс Российской Федерации (N 146-ФЗ от 31.07.1998, N 117-ФЗ от 05.08.2000);

- Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (N 27- ФЗ от 01.04.1996);

- Федеральный закон «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» (N 125-ФЗ от 24.07.1998); д) Федеральный закон «Об обязательном медицинском страховании в Российской Федерации» (N 326-ФЗ от 29.11.2010);

- Федеральный закон РФ «О персональных данных» (N 152-ФЗ от 27.07.2006);

- Настоящая политика, утвержденная приказом директора;

- Положение о персональных данных работников, утвержденное приказом директора;

- Устав Учреждения.

6.2. При обработке персональных данных Контрагентов, Учреждение руководствуется следующими нормативно-правовыми актами:

- Гражданский кодекс Российской Федерации (N 51-ФЗ от 30.11.1994, N 14-ФЗ от 26.01.1996, N 146-ФЗ от26.11.2001, N 230- ФЗ от 18.12.2006);

- Федеральный закон РФ «О персональных данных» (N 152-ФЗ от 27.07.2006);

- Настоящая политика, утвержденная приказом директора;

- Устав Учреждения.

6.3. При обработке персональных данных Воспитанников, Учреждение руководствуется следующими нормативно-правовыми актами:

- Федеральный закон «Об образовании» (N 273-ФЗ от 29.12.2012); б) Федеральный закон РФ «О персональных данных» (N 152-ФЗ от 27.07.2006); - Настоящая политика, утвержденная приказом директора;

- Положение о персональных данных воспитанников, утвержденное приказом директора;

- Устав Учреждения.

 

 7.  Изменение персональных данных

 

Субъекты персональных данных имеют право требовать внесение изменений и дополнений своих персональных данных, обрабатываемых в Учреждении, обратившись к лицу, ответственному за организацию обработки персональных данных, при этом они должны иметь оригиналы подтверждающих документов, в соответствии с которыми вносятся изменения.

 

8. Обработка персональных данных

 

8.1. Получение персональных данных.

8.1.1. Все персональные данные получают от самого субъекта. В случае, если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

8.1.2. Оператор сообщает субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

8.1.3. Документы, содержащие персональные данные, создаются путем: 

- копирование оригиналов документов;

- внесение сведений в учетные формы;

- получение оригиналов необходимых документов.

8.2. Обработка персональных данных осуществляется:

- с согласия субъекта персональных данных на обработку его персональных данных;

- в случае, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации, полномочий и обязанностей функций;

- в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым представлен субъектом персональных данных либо по его просьбе.

 

9. Обязанности учреждения

 

В целях обеспечения прав и свобод человека и гражданина учреждение при обработке персональных данных субъекта обязано соблюдать следующие общие требования:

 - обработка персональных данных субъекта может осуществляться исключительно в целях оказания законных услуг субъектам;

- учреждение не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, вправе обрабатывать указанные персональные данные субъекта только с его письменного согласия;

- предоставлять субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;

- хранение и защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается учреждением, за счет его средств в порядке, установленном действующим законодательством РФ;

 - в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта либо уполномоченного органа по защите прав субъектов персональных данных учреждение обязано осуществить блокирование персональных данных на период проверки;

 - в случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;

 - в случае достижения цели обработки персональных данных учреждение обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;

 - в случае отзыва субъектом согласия на обработку своих персональных данных учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между учреждением и субъектом. Об уничтожении персональных данных Учреждение обязано уведомить субъекта.

 

10. Прав субъектов

 

10.1. Право на доступ к информации о самом себе.

10.2. Право на определение форм и способов обработки персональных данных.

10.3. Право на отзыв согласия на обработку персональных данных посредством подачи заявления оператору. (Приложение № 4)

10.4. Право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.

10.5. Право требовать изменение, уточнение, уничтожение информации о самом себе.

10.6. Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.

10.7. Право на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения.

10.8.  Право требовать от Учреждения уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них.

 

11. Сведения об обеспечении безопасности персональных данных

 

11.1.  Безопасность персональных данных достигается путем обеспечения их конфиденциальности, целостности и доступности.

11.2. Действующие организационно-распорядительные документы по защите персональных данных, регламентирующие порядок обработки персональных данных и ответственность должностных лиц;

11.3. Осуществление внутреннего периодического контроля;

11.4. Учет машинных носителей персональных данных;

11.5. Физическая охрана зданий и помещений;

11.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

11.7. Обучение сотрудников вопросам защиты персональных данных

11.8. Технические меры защиты:

- подсистема антивирусной защиты;

- запирающиеся шкафы для хранения носителей персональных данных;

- пожарная и охранная сигнализация.

11.9.  Допуск к персональным данным субъекта имеют только те сотрудники учреждения, которым персональные данные необходимы в связи с исполнением ими своих трудовых обязанностей.

11.10.  Каждый сотрудник имеет доступ к минимально необходимому набору персональных данных субъектов, необходимых ему для выполнения трудовых обязанностей.

 

12. Ответственность за разглашение персональных данных и нарушение

 

12.1. Учреждение ответственно за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением, установленных в организации принципов уважения приватности.

12.2. Каждый сотрудник Учреждения, получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации.

12.3. Учреждение обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб субъектов, доступную с помощью телефонной, телеграфной или почтовой связи.

12.4. Любое лицо может обратиться к сотруднику учреждения с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления. Сотрудники Учреждения обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб субъектов, а также содействовать исполнению требований компетентных органов.

12.5.Лица, виновные в нарушении требований настоящей политики, привлекаются к дисциплинарной ответственности.