г. Сатка, ул. Солнечная, 18; Телефон: 8-35161-3-33-53
государственные и муниципальные услуги

Защита и обработка персональных данных

Положение об обработке персональных данных в МАУ «Многофункциональный центр по оказанию государственных и муниципальных услуг» Саткинского муниципального района (скачать)

Политика  в отношении обработки и обеспечения безопасности персональных данных  в МАУ «Многофункциональный центр по оказанию государственных и муниципальных услуг» Саткинского муниципального района

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в отношении обработки и обеспечения безопасности персональных данных в МАУ «Многофункциональный центр по оказанию государственных и муниципальных услуг» Саткинского муниципального район (далее – Политика) разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) в целях обеспечения защиты прав и свобод физических лиц при обработке МАУ «МФЦ Саткинского муниципального района» (далее – Учреждение) их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также в целях соблюдения требований законодательства Российской Федерации в области защиты персональных данных.

1.2. Настоящая Политика раскрывает основные принципы и правила, используемые Учреждением при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, а также содержит сведения об исполнении Учреждением обязанностей в соответствии с Федеральным законом о персональных данных и сведения о реализуемых Учреждением требований к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых Учреждением.

1.3. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Учреждения при обработке персональных данных, и подлежит опубликованию на официальном сайте Учреждения в информационно- телекоммуникационной сети «Интернет» (далее – сеть Интернет) по адресу http://www.http://mfc-satka.ru

1.4. Понятия и термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом о персональных данных.

1.5. Учреждение при обработке персональных данных руководствуется следующими нормативными правовыми актами:

1) Конституция Российской Федерации;

2) Трудовой кодекс Российской Федерации;

3) Налоговый кодекс Российской Федерации;

4) Гражданский кодекс Российской Федерации;

5) Семейный кодекс Российской Федерации;

6) Федеральный закон Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты Российской Федерации;

7) Федеральный закон Российской Федерации от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

1.6. Меры по обеспечению безопасности персональных данных при их обработке, принимаются Учреждением с соблюдением требований Федерального закона о персональных данных, иных нормативных правовых актов Российской Федерации, в том числе следующих:

1) Федеральный закон Российской Федерации от 27.07.2006 г. №149-ФЗ «Об 2 информации, информационных технологиях и о защите информации»;

2) Постановление Правительства Российской Федерации от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

3) Постановление Правительства Российской Федерации от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

4) Постановление Правительства Российской Федерации от 06.07.2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

5) Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

6) Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 г. №996 «Об утверждении требований и методов по обезличиванию персональных данных»;

7) Приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 г. №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

8) иные нормативные правовые акты Российской Федерации, Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности, Федеральной службы по надзору в сфере связи, информационных технологий и массовых телекоммуникаций, регламентирующие обработку и защиту персональных данных.

2. ИНФОРМАЦИЯ ОБ ОПЕРАТОРЕ

2.1. Наименование оператора: муниципальное автономное учреждение «Многофункциональный центр по предоставлению государственных и муниципальных услуг» Саткинского муниципального района, ИНН 7457000362  , КПП 745701001, ОГРН 1127457000351, ОГРП 7458000000.

2.2. Адрес фактического местонахождения: 456910, Челябинская область, город Сатка, улица Солнечная, дом 18.

2.3. Контактный телефон: (35161) 4-09-09, 4-08-05 .

2.4. Официальный сайт оператора: http://mfc-satka.ru. 2.5. Электронная почта: [email protected]

3. ПОНЯТИЕ, КАТЕГОРИИ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Перечень обрабатываемых персональных данных, подлежащих защите в Учреждении, формируется в соответствии с Федеральным законом о персональных данных, Уставом и внутренними нормативными документами Учреждения.

3.2. Сведениями, составляющими персональные данные, в Учреждении является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.3. В зависимости от субъекта персональных данных, Учреждение обрабатывает персональные данные следующих категорий субъектов персональных данных: 3 1) физических лиц, предоставивших свои персональные данные в связи с обращением в Учреждение для получения государственных или муниципальных услуг – далее Заявители; 2) физических лиц, обратившихся в Учреждение в целях трудоустройства и предоставивших свои персональные данные, и работников Учреждения – далее Соискатели и Работники.

3.4. В Учреждении осуществляется обработка следующих персональных данных:

1) персональные данные Заявителей могут включать в себя следующую информацию: фамилия, имя и отчество; дата рождения; место рождения; адрес регистрации; фактический адрес; реквизиты документа, удостоверяющего личность; сведения об образовании, сведения о трудовой деятельности; сведения о доходах; сведения о семейном положении и составе семьи; сведения о получаемых льготах и выплатах; сведения о получаемых государственных и муниципальных услугах; сведения о состоянии здоровья; сведения о собственности; сведения о воинской обязанности; идентификационный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); реквизиты расчетных счетов; адрес электронной почты; телефонный номер; иные сведения, указанные Заявителем, необходимые для предоставления государственных и муниципальных услуг;

2) персональные данные Соискателей и Работников включают в себя: фамилия, имя и отчество; дата рождения; место рождения; адрес регистрации; фактический адрес; реквизиты документа, удостоверяющего личность; сведения об образовании, сведения о трудовой деятельности; сведения о доходах; сведения о семейном положении и составе семьи; сведения о получаемых льготах и выплатах; сведения о состоянии здоровья; сведения о воинской обязанности; идентификационный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); реквизиты расчетных счетов; телефонный номер; иные персональные данные, необходимые для исполнения трудового законодательства.

3.5. Обработка персональных данных в Учреждении ведется в следующих целях:

1) для Заявителей – в целях предоставления государственных и муниципальных услуг; в целях установления связи с Заявителем при необходимости, в том числе направления уведомлений, информации и запросов, связанных с предоставлением услуг; в целях улучшения качества предоставления услуг, представленных в Учреждении; в целях осуществления начислений и непосредственного контакта с субъектом персональных данных с помощью услуг электросвязи и мобильных технологий, призванных информировать о возникшей задолженности, о государственной поверке, о смене тарифов и прочее, расчетов, печати счет-извещений и иной печатной продукции, относящейся к деятельности ресурсоснабжающей организации, проведения перерасчетов и разработки задолженности за услуги холодного водоснабжения и водоотведения, горячего водоснабжения, отопления, вывоза ТБО, электроэнергии, газоснабжения и доставки квитанции на оплату вышеперечисленных услуг;

2) для Соискателей – в целях содействия в трудоустройстве и прохождения конкурсного отбора на вакантные должности и ведения кадрового резерва;

3) для Работников – в целях исполнения прав и обязанностей сторон трудового договора, исполнения законодательства (передача отчетности и др.) в сфере социального страхования, законодательства в сфере воинского учета, пенсионного законодательства, налогового законодательства, исполнения требования других федеральных законов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, оформления доверенностей, прохождения конкурсного отбора на вакантные должности, прохождения безналичных платежей (заработная плата) на банковский счет.

4 4. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Учреждение в своей деятельности обеспечивает соблюдение следующих принципов:

1) Обработка персональных данных должна осуществляться на законной и справедливой основе;

2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) Обработке подлежат только персональные данные, которые отвечают целям их обработки;

5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2. Обработка персональных данных осуществляется после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных п. 3.2 настоящей Политики.

4.3. Согласие субъекта персональных данных, предусмотренное п.3.1 настоящей Политики не требуется в следующих случаях:

1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей;

2) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

3) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

4) обработка персональных данных необходима для исполнения договора, 5 стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

4.4. В Учреждении обеспечивается конфиденциальность персональных данных. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.

4.5. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование и адрес Учреждения;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя и отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

4.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных п. 3.5 настоящей Политики.

4.7. Обработка указанных в п. 3.4 настоящей Политики специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или 6 иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

5) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно- розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

6) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

4.8. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются в Учреждении для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, указанных в п. 4.9 настоящей Политики.

4.9. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

4.10. Учреждение не осуществляет трансграничную передачу персональных данных на территории иностранных государств.

4.11. Обработка персональных данных в Учреждении включает в себя такие действия как сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (предоставление), блокирование, удаление, уничтожение персональных данных.

4.12. В Учреждении используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети Учреждения и с передачей информации по сети Интернет в защищенном режиме.

5. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

5.1. Учреждение обеспечивает защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

5.2. Учреждение принимает необходимые правовые, организационные и технические меры защиты персональных данных, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и, принятыми в соответствии с ним, нормативными правовыми актами, а том числе следующие меры:

1) назначен ответственный за организацию обработки персональных данных, имеющий двойное подчинение: по вопросам информационной безопасности непосредственно подчиняется директору Учреждения, по административным вопросам – 7 начальнику Информационно-аналитического отдела;

2) изданы локальные нормативные акты, регламентирующие вопросы обработки и защиты персональных данных, в том числе настоящая Политика в отношении обработки и обеспечения безопасности персональных данных в МАУ «Многофункциональный центр по оказанию государственных и муниципальных услуг» Саткинского муниципального района;

3) ведётся учет лиц, допущенных к работе с персональными данными;

4) работники Учреждения, непосредственно осуществляющие обработку персональных данных, ознакомлены с требованиями законодательства Российской Федерации, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, и подписали обязательство о неразглашении персональных данных;

5) осуществляется физическая охрана помещений и определен порядок доступа к ним;

6) реализуется ограничение доступа работников Учреждения и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;

7) осуществляется учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;

8) определены места хранения материальных носителей персональных данных и обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

9) осуществляется резервное копирование персональных данных;

10) осуществляется антивирусная защита информационных систем персональных данных;

11) осуществляется внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных;

12) для защиты персональных данных при их обработке используются сертифицированные средства защиты; 1

3) при обработке и передачи персональных данных по сети Интернет применяются сертифицированные шифровальные (криптографические) средства защиты информации VipNet.

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных имеет право на:

1) получение информации, касающейся обработки его персональных данных, в порядке, установленном Федеральным законом о персональных данных;

2) обжалование действия или бездействия Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона о персональных данных или иным образом нарушает его права и свободы;

3) защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

4) требование от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5) отзыв своего согласия на обработку персональных данных (в случаях, когда обработка персональных данных осуществляется на основании согласия субъекта персональных данных).

6.2. Учреждение обязано сообщить в порядке, предусмотренном Федеральным законом о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.