Правила
обработки персональных данных
в МБУ «Дом молодежи»
I.
Общие положения
1.1. Правила
обработки персональных данных в МБУ
«Дом молодежи» (далее учреждение) устанавливают
процедуры, направленные на выявление и предотвращение нарушений
законодательства Российской Федерации в области персональных данных, а также
определяют для каждой цели обработки персональных данных содержание
обрабатываемых персональных данных, категории субъектов, персональные данные
которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при
достижении целей обработки или при наступлении иных законных оснований.
Настоящие Правила определяют политику учреждения как оператора, осуществляющего обработку персональных
данных (далее – оператор).
1.2. Настоящие Правила
разработаны в соответствии с Трудовым кодексом Российской
Федерации, Кодексом Российской Федерации об административных правонарушениях Российской
Федерации, Федеральным законом от 27.07.2006
г. №152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006
г. №149-ФЗ "Об информации, информационных технологиях и о защите
информации", Федеральным законом от 02.03.2007
г. №25-ФЗ «О муниципальной службе в Российской Федерации», Федеральным законом от
25.12.2008 г. №273-ФЗ "О противодействии коррупции", Федеральным законом от 27.07.2010
г. №210-ФЗ "Об организации предоставления государственных и муниципальных
услуг", Федеральным законом от
02.05.2006 г. №59-ФЗ "О порядке рассмотрения обращений граждан Российской
Федерации", Указом Президента
Российской Федерации от 30.05.2005 г. №609 "Об утверждении Положения о
персональных данных государственного гражданского служащего Российской
Федерации и ведении его личного дела", постановлением Правительства
Российской Федерации от 01.11.2012 г. №1119 "Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных", постановлением Правительства
Российской Федерации от 15.09.2008 г. №687 "Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации", постановлением
Правительства Российской Федерации от 21.03.2012 г. №211 "Об утверждении
перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом "О персональных данных" и
принятыми в соответствии с ним нормативными правовыми актами, операторами,
являющимися государственными или муниципальными органами", приказом
Федеральной службы по техническому и экспортному контролю от 11.02.2013 г. №17
"Об утверждении Требований о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах".
1.3. Обработка персональных данных в учреждении
осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами
и законодательством Российской Федерации в области персональных данных.
1.4. Действие настоящих
Правил не распространяется на отношения, возникающие при обработке персональных
данных, отнесенных в установленном порядке к сведениям, составляющим
государственную тайну, и в случаях, предусмотренных действующим
законодательством.
II.
Цели и условия обработки персональных данных
2.1. Настоящими
Правилами определяются следующие цели обработки персональных данных,
относительно субъектов персональных данных.
2.1.1.
Персональные данные сотрудников учреждения и иных лиц, состоящих с учреждением в трудовых отношениях (далее
соответственно – служащие, работники), граждан, претендующих на замещение
должностей, не являющихся должностями учреждения, обрабатываются в целях
обеспечения кадровой работы, в том числе в целях содействия работникам учреждения в прохождении службы (выполнении
работы), формирования кадрового резерва, учета результатов исполнения служащими
и работниками учреждения должностных
обязанностей, обеспечения установленных законодательством Российской Федерации
условий труда, гарантий и компенсаций, а также в целях противодействия
коррупции.
2.1.2.
Персональные данные граждан, являющихся стороной гражданско-правового договора
с учреждением,
обрабатываются в целях выполнения работ, оказания услуг для удовлетворения
муниципальных нужд.
2.1.3.
Персональные данные физических лиц, обратившихся в учреждение в письменной форме или в форме
электронного документа, а также с устным обращением, обрабатываются в целях их
рассмотрения и последующего уведомления о результатах рассмотрения в
соответствии с Федеральным законом "О порядке рассмотрения обращений
граждан Российской Федерации».
2.1.4. Персональные
данные граждан, обращающихся в учреждение
для получения муниципальных услуг, и для осуществления муниципальных функций обрабатываются в
целях исполнения
полномочий органа местного самоуправления.
2.2.
Согласие на обработку персональных данных субъекта персональных данных, чьи
данные обрабатываются в целях, указанных в пункте 2.1.1 настоящих
Правил, не требуется при обработке персональных данных в соответствующих целях
в соответствии с пунктом 2 части 1 статьи 6 Федерального
закона от 27.07.2006 г. №152-ФЗ "О персональных данных", кроме
случаев, предусмотренных пунктом 2.2.4 настоящих Правил.
2.2.1. Согласие
на обработку персональных данных субъектов персональных данных, чьи данные
обрабатываются в целях, указанных в пункте 2.1.2, не требуется
при обработке персональных данных в соответствующих целях согласно пункту 5 части 1 статьи 6 Федерального
закона "О персональных данных", кроме случаев, предусмотренных пунктом 2.2.4 настоящих
Правил.
2.2.2. Согласие
на обработку персональных данных субъектов персональных данных, чьи данные
обрабатываются в целях, указанных в пунктах 2.1.3, 2.1.6, 2.1.10 настоящих
Правил, не требуется при обработке персональных данных в случаях их обработки в
соответствии с положениями законодательства согласно пункту 2 части 1 статьи 6 Федерального
закона от 27.07.2006 г. №152-ФЗ "О персональных данных", кроме
случаев, предусмотренных пунктом 2.2.4 настоящих Правил.
2.2.3. Согласие
на обработку персональных данных субъектов персональных данных, чьи данные
обрабатываются в целях, указанных в пункте 2.1.4, не требуется
при обработке персональных данных в соответствующих целях на основании пункта 4 части 1 статьи 6 Федерального закона
от 27.07.2006 г. №152-ФЗ "О персональных данных".
2.2.4. Необходимо получить согласие субъекта персональных данных на
обработку его персональных данных:
при передаче
персональных данных третьей стороне (за исключением случаев, предусмотренных
федеральными законами);
при
распространении (в том числе при размещении на официальном сайте учреждения) персональных данных;
при принятии
решений, порождающих юридические последствия в отношении субъекта персональных
данных или иным образом затрагивающих его права и законные интересы, на
основании исключительно автоматизированной обработки его персональных данных.
2.2.5. Согласие
на обработку персональных данных субъекта необходимо получать непосредственно у
субъекта персональных данных в любой форме, позволяющей подтвердить факт его
получения, если иное не установлено федеральными законами.
2.2.6.
Организация сбора и хранения письменных согласий на обработку персональных
данных субъектов возлагается на специалиста учреждения, непосредственно
осуществляющий обработку персональных данных.
III.
Действия (операции), совершаемые
с персональными
данными
3.1. Обработка
персональных данных субъектов в учреждении выполняется
с использованием средств автоматизации или без использования таких средств и
включает сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), блокирование, удаление, уничтожение персональных
данных.
3.1.1. Сбор,
запись, систематизация, накопление и уточнение персональных данных,
обрабатываемых в случаях, предусмотренных пунктом 2.1.1 настоящих
Правил, осуществляется путем:
копирования
оригиналов документов;
внесения
сведений в учетные формы (на бумажных и электронных носителях);
получения
оригиналов необходимых документов (трудовая книжка, автобиография, иные
документы, предоставляемые делопроизводителю учреждения);
создания
персональных данных в ходе кадровой работы;
внесения
сведений в информационные системы персональных данных.
3.1.2. Сбор,
запись, систематизация, накопление и уточнение персональных данных,
обрабатываемых в целях, указанных в пункте 2.1.2 настоящих
Правил, осуществляется путем:
получения
необходимой информации (в том числе в документированном виде) непосредственно
от сторон гражданско-правового договора;
регистрации
персональных данных на бумажных и электронных носителях информации.
3.1.3. Сбор,
запись, систематизация, накопление и уточнение персональных данных,
обрабатываемых в целях, указанных в пункте 2.1.3 настоящих
Правил, осуществляется путем:
получения
письменных обращений в установленной форме;
регистрации
персональных данных на бумажных и электронных носителях информации.
3.1.4. Сбор,
запись, систематизация, накопление и уточнение персональных данных,
обрабатываемых в целях, указанных в пункте 2.1.4 настоящих
Правил, осуществляется путем:
получения подлинников документов,
необходимых для предоставления муниципальных услуг, в том числе заявления;
заверения необходимых копий документов;
внесения сведений в учетные формы (на
бумажных и электронных носителях);
внесения персональных данных в информационные системы персональных данных, прикладные программные системы
(офисное обеспечение).
3.2. При сборе
персональных данных в случаях, предусмотренных пунктом 2.1.1 настоящих
Правил, работник учреждения, осуществляющий
получение персональных данных непосредственно от субъекта персональных данных,
обязан разъяснить субъекту персональных данных юридические последствия отказа
предоставить его персональные данные.
3.3. В
соответствии с частью 4 статьи 18 Федерального
закона от 27.07.2006 г. №152-ФЗ "О персональных данных" Администрация, как оператор, освобождается от
обязанностей, предусмотренных частью 3 статьи 18 указанного
Закона, при сборе персональных данных в случаях, предусмотренных пунктами 2.1.1 – 2.1.4
настоящих Правил.
3.4.
Предоставление и распространение персональных данных осуществляется в
соответствии с федеральными законами, на основании которых они обрабатываются,
в порядке, предусмотренном главой 8 настоящих Правил.
3.5.
Использование персональных данных осуществляется в соответствии с федеральными
законами, на основании которых они обрабатываются.
Возможность
использовать персональные данные имеют исключительно работники, допущенные к
персональным данным в порядке, предусмотренном главой 7 настоящих
Правил.
3.6. В
зависимости от конкретной цели обработки персональных данных, обрабатываемых в
случаях, предусмотренных пунктами 2.1.1 – 2.1.4 настоящих Правил, Администрацией также могут совершаться иные действия,
предусмотренные федеральными законами, на основании которых они обрабатываются.
IV.
Трансграничная передача персональных данных,
обрабатываемых
в учреждении.
4.1.
Трансграничная передача персональных данных, обрабатываемых в учреждении, допускается в случаях, предусмотренных
международными договорами Российской Федерации, а также в случаях исполнения
договора, стороной которого является субъект персональных данных.
4.2.
Трансграничная передача персональных данных в электронном виде с использованием
информационно-телекоммуникационных систем осуществляется через учреждение, если
иное не предусмотрено законодательством Российской Федерации.
4.3. До начала
осуществления трансграничной передачи персональных данных лицо, ответственное
за организацию обработки персональных данных в учреждении, представляет директору заключение о
том, что иностранным государством, на территорию которого осуществляется
передача персональных данных, обеспечивается адекватная защита прав субъектов
персональных данных.
V.
Лица, ответственные за организацию обработки
персональных
данных
5.1.
Лицо, ответственное за организацию обработки персональных данных, получает
письменные указания непосредственно от директора учреждения.
VI. Организация
хранения персональных данных
6.1.
Персональные данные хранятся на бумажном носителе. Персональные данные хранятся
в электронном виде в информационных системах персональных данных учреждении.
6.2. Сроки
хранения персональных данных на бумажном носителе определяются нормативными
правовыми актами, регламентирующими порядок их сбора и обработки.
6.3. Срок
хранения персональных данных в электронном виде должен соответствовать сроку
хранения бумажных носителей.
6.4. При
хранении персональных данных на электронных носителях работником учреждения, в функции которого входит
организация функционирования автоматизированных и информационных систем,
обеспечивается регулярное резервное копирование информации с целью недопущения
потери персональных данных при выходе из строя носителей персональных данных.
6.5. Необходимо
обеспечивать раздельное хранение персональных данных на разных материальных
носителях, обработка которых осуществляется в различных целях, определенных
настоящими Правилами, без использования средств вычислительной техники (без
использования средств автоматизации).
6.6. Директором
учреждения, осуществляющего обработку персональных данных, устанавливается
контроль за хранением и использованием носителей персональных данных, не
допускающий несанкционированного использования, уточнения, распространения и
уничтожения персональных данных, находящихся на этих носителях.
6.7. Уточнение
(изменение, дополнение) персональных данных при осуществлении их обработки без
использования средств вычислительной техники (без использования средств
автоматизации) может производиться путем обновления (в том числе частичного)
или изменения данных на материальном носителе. Если это не допускается
техническими особенностями материального носителя - путем фиксации на том же
материальном носителе сведений об изменениях, вносимых в персональные данные,
либо путем изготовления нового материального носителя с уточненными
персональными данными.
6.8. Уничтожение
по окончании срока обработки персональных данных на электронных носителях
производится путем механического нарушения целостности носителя, не
позволяющего произвести считывание или восстановление персональных данных, или
удалением с электронных носителей методами и средствами гарантированного
удаления остаточной информации.
6.9. Вывод на
печать документов, содержащих персональные данные, допускается в связи с
исполнением служебных обязанностей, в том числе в целях передачи печатных копий
субъектам персональных данных либо лицам, допущенным в соответствии с пунктом 7.1 настоящих
Правил к работе с персональными данными.
VII. Допуск работников к работе с персональными
данными
7.1.
К работе с персональными данными допускаются работники, в должностные
обязанности которых входит обработка персональных данных либо осуществление
доступа к персональным данным, а также работники, реализующие права субъектов
персональных данных в соответствии со статьей 14 Федерального
закона "О персональных данных".
7.2. При
реализации работником учреждения
прав
субъекта персональных данных его персональные данные должны предоставляться ему
таким образом, чтобы не нарушалась конфиденциальность персональных данных
других субъектов персональных данных.
7.3. Требования
по соблюдению конфиденциальности персональных данных являются обязательными при
допуске работника учреждения к работе с
персональными данными. Работник, получивший доступ к персональным данным,
обязан не раскрывать третьим лицам и не распространять персональные данные без
согласия субъекта персональных данных, если иное не предусмотрено федеральными
законами.
Работник,
допущенный к обработке персональных данных, принимает на себя обязательства в
случае расторжения с ним трудового договора прекратить обработку персональных
данных, ставших известными ему в связи с исполнением должностных обязанностей.
Обязательство в письменной форме приобщается к личному делу работника.
7.4. Работники,
допущенные к обработке персональных данных, должны быть проинформированы о
характере обработки, категориях обрабатываемых персональных данных, а также об
особенностях и условиях осуществления такой обработки, установленных настоящими
Правилами.
7.5. При осуществлении
доступа к персональным данным, обрабатываемым в информационных системах
персональных данных учреждения, должна
применяться система разграничения прав доступа на основе утверждаемых директором
учреждения правил
разграничения доступа к информации, обрабатываемой в информационной системе.
Правила разграничения доступа разрабатываются специалистом информационного
направления.
VIII. Порядок предоставления персональных данных
8.1. Не
допускается предоставление баз, банков данных, списков, содержащих персональные
данные, за исключением случаев, предусмотренных федеральными законами.
8.2. Учреждение в соответствии со статьей 6 Федерального
закона "О персональных данных"
может поручать обработку персональных данных другому лицу с согласия субъекта
персональных данных, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора.
В
соответствующем договоре указываются порядок предоставления персональных
данных, обязательства сторон по соблюдению конфиденциальности, цель обработки,
ограничение на использование персональных данных, а также требования к защите
обрабатываемых персональных данных. При этом условием поручения обработки
является наличие организации в реестре операторов персональных данных.
8.3. Учреждение может поручать защиту персональных
данных организации на основании договора, в котором указываются порядок
предоставления персональных данных, обязательства сторон по соблюдению
конфиденциальности и ограничения на использование персональных данных, а также
требования к защите обрабатываемых персональных данных. При этом условием
поручения защиты является наличие у организации лицензии на осуществление
деятельности по технической защите конфиденциальной информации.
8.4. Учреждение в соответствии с действующим
законодательством передает
персональные данные субъекта персональных данных государственному органу, его
территориальному органу, органу местного самоуправления или организации,
подведомственной государственному органу, органу местного самоуправления, а
также физическому или юридическому лицу на основании запроса о предоставлении
персональных данных (далее - запрос).
8.5. Запрос
оформляется в письменном виде на бланках в соответствии с требованиями,
установленными Правительством Российской Федерации в части делопроизводства и
документооборота для федеральных органов исполнительной власти, и направляется
фельдсвязью, почтовым отправлением, с нарочным или в форме электронного
документа.
8.6. Запрос
должен быть подписан уполномоченным должностным лицом, содержать указание цели
и правовые основания для затребования персональных данных и срок предоставления
этой информации, если иное не установлено федеральными законами.
8.7. При
направлении запроса по информационно-телекоммуникационным сетям стандарт,
формат и процедуру информационного взаимодействия с контрагентом определяет учреждение в соответствии с действующим
законодательством. Подпись должностного лица подтверждается квалифицированной
электронной подписью.
8.8. Запрос
физического лица о предоставлении его персональных данных, в соответствии со статьей 14 Федерального
закона "О персональных данных", должен содержать реквизиты документа,
удостоверяющего личность субъекта персональных данных или его представителя,
сведения, подтверждающие участие субъекта персональных данных в отношениях с учреждением, либо сведения, иным образом
подтверждающие факт обработки персональных данных учреждением, подпись субъекта персональных данных
или его представителя.
8.9.
Запрос подлежит рассмотрению учреждением, если в нем
указывается положение федерального закона, устанавливающее право обратившегося
государственного органа, его территориального органа, органа местного
самоуправления или организации, подведомственной государственному органу,
органу местного самоуправления, а также физического или юридического лица на
получение запрашиваемых персональных данных или в случае заключения договора
(соглашения) об информационном взаимодействии с учреждением.
8.10.
Обоснованием (мотивом) запроса является конкретная цель, связанная с
реализацией гражданином своих прав или исполнением определенных федеральным
законом обязанностей, для достижения которых ему необходимо использовать
запрашиваемые персональные данные (например: дело, находящееся в производстве
суда, правоохранительного органа, в запросе указывается номер; проведение
правоохранительным органом оперативно-розыскных мероприятий или проверки по
поступившей в этот орган информации, в запросе указывается дата и номер
документа, на основании которого проводится оперативно-розыскное мероприятие).
Запросы, по форме и содержанию не отвечающие требованиям пункта 8.9 настоящих
Правил, исполнению не подлежат.
8.11.
Предоставление гражданам информации, содержащей персональные данные,
посредством информационно-телекоммуникационной сети в электронном виде в форме
электронного документа, подписанного электронной подписью, осуществляется в
соответствии с Федеральным законом от 27.07.2010
г. №210-ФЗ "Об организации предоставления государственных и муниципальных
услуг".
IX.
Требования к защите персональных
данных при их
обработке без использования средств
вычислительной
техники
9.1. Обработка
персональных данных без использования средств вычислительной техники (без
использования средств автоматизации) осуществляется работниками учреждения в соответствии с Указом Президента
Российской Федерации от 30.05.2005 г. №609 "Об утверждении Положения о
персональных данных государственного гражданского служащего Российской
Федерации и ведении его личного дела", постановлением Правительства
Российской Федерации от 15.09.2008 г. №687 "Об утверждении
Положения об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации".
9.2. Печатная
копия документа, созданная в целях передачи определенному субъекту персональных
данных, не должна содержать персональные данные других субъектов персональных
данных, за исключением случаев, определенных действующим законодательством.
9.3. Запрещается
использовать печатные копии документов, содержащих персональные данные, для
повторной печати (в качестве черновиков).
9.4. Типовые
формы документов, характер информации в которых предполагает или допускает
включение в них персональных данных, утверждаются учреждением с соблюдением условий, предусмотренных пунктом 7 Положения об
особенностях обработки персональных данных, осуществляемой без использования
средств автоматизации, утвержденного постановлением Правительства Российской
Федерации от 15.09.2008 г. №687 "Об утверждении Положения об особенностях
обработки персональных данных, осуществляемой без использования средств
автоматизации".
X.
Требования к защите персональных данных при их обработке
в информационных
системах персональных данных
10.1.
Безопасность персональных данных при их обработке в информационных системах
персональных данных учреждения, обеспечивается
при помощи системы защиты персональных данных, нейтрализующей актуальные угрозы
безопасности персональных данных.
10.2. Меры по
обеспечению безопасности персональных данных должны обеспечить надлежащий
уровень безопасности с учетом соразмерности затрат на их реализацию и опасности
угроз, обусловленных природой защищаемых данных и условиями их обработки.
10.3. Учреждение в соответствии с постановлением Правительства
Российской Федерации от 01.11.2012 г. №1119 "Об утверждении требований к
защите персональных данных при их обработке в информационных системах
персональных данных", принимает организационные меры, необходимые для
определения уровня защищенности персональных данных для информационных систем
персональных данных, и выполнения требований к защите персональных данных при
их обработке в информационных системах персональных данных, исполнение которых
обеспечивает установленные уровни защищенности.
10.4. Реализация
методов и способов защиты информации в информационных системах персональных
данных, организуется специалистом информационного направления учреждения.
10.5. Средства
защиты информации, применяемые для реализации выбранных методов и способов
защиты информации, в порядке, установленном законодательством о техническом
регулировании, проходят процедуру оценки соответствия.
Вернуться назад
