Главная \ ДОКУМЕНТАЦИЯ \ ЛОКАЛЬНЫЕ АКТЫ УЧРЕЖДЕНИЯ \ Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных

 1. Общие положения

 Настоящий документ «Политика в отношении обработки персональных данных» (далее по тексту Политика) бюджетного учреждения Ханты-Мансийского автономного округа – Югры «Психоневрологический интернат» (далее по тексту Учреждение) разработана в соответствии с требованиями Федерального закона «О персональных данных» от 27.07.2006  № 152-ФЗ и распространяется на все персональные  данные, обрабатываемые в бюджетном учреждении Ханты-Мансийского автономного округа – Югры «Психоневрологический интернат».

 Целью настоящей Политики является доведение до сотрудников и лиц, желающих воспользоваться услугами Учреждения (далее по текступолучатели социальных услуг), получатели необходимой информации, позволяющей понять, какие персональные данные и с какой целью собираются Учреждением, каким образом они обрабатываются, какие требования к обеспечению их безопасности реализуются.

Настоящая Политика распространяется на персональные данные, полученные как до, так и после ее утверждения.

В дополнение к настоящей Политике Учреждение может выпускать дополнительные нормативные документы, регламентирующие защиту и порядок обработки персональных данных.  

Действие настоящего документа распространяется на все процессы Учреждения, в  рамках которых осуществляется обработка персональных данных, а также на подразделения, принимающие участие в указанных процессах.

2. Правовое основание, цели и способы обработки персональных данных

2.1 Цели и способы обработки персональных данных

Цель обработки персональных данных субъектов – обеспечение выполнения работ и предоставления услуг, определенных уставом Учреждения, выполнения договорных обязательств Учреждения перед получателями социальных услуг, а также содействие работникам Учреждения в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работников и Учреждения как работодателя.

Обработка (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение) персональных данных  в Учреждении подразделяется на:

- обработку персональных данных в информационных системах персональных  данных с использованием средств автоматизации;

- обработку персональных данных, осуществляемую без использования средств автоматизации.

 2.2. Состав обрабатываемых персональных данных

   2.2.1 Персональные данные работников Учреждения – информация, необходимая Учреждению в связи с реализацией трудовых отношений и касающаяся конкретного работника. Состав обрабатываемых персональных данных сотрудников:

-          Ф.И.О.;

 -          пол;

 -          дата рождения;

 -          место рождения;

 -          гражданство;

 -          сведения о знании иностранных языков;

 -          сведения об образовании (в том числе наименование образовательного учреждения (серия, номер, год окончания, квалификация, специальность по диплому)); 

 -          данные о послевузовском профессиональном образовании;

 -          профессия;

 -          стаж работы;

 -          семейное положение;

 -          состав семьи;

 -          паспортные данные;

 -          адрес места жительства (по паспорту, фактически);

 -          дата регистрации по месту жительства;

 -          номер контактного телефона;

 -          табельный номер;

 -          идентификационный номер налогоплательщика;

 -          страховой номер индивидуального лицевого счета в Пенсионном фонде РФ;

 -          характер работы (постоянно, временно);

 -          вид работы (основная, по совместительству);

 -          сведения о Трудовом договоре (номер, дата);

 -          сведения о воинском учете (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение ВУС, категория годности к военной службе, наименование военного комиссариата по месту жительства и пр.);

 -          дата приему на работу;

 -          структурное подразделение;

 -          должность;

 -          оклад;

 -          сведения по аттестации (дата аттестации, решение комиссии и пр.);

 -          данные о курсах повышения квалификации;

 -          данные о профессиональных переподготовках; награды (поощрения);

 -          почетные звания.

 2.2.2 Персональные данные получателей социальных услуг– информация, необходимая Учреждению для выполнения своих обязательств в рамках договорных отношений с получателями социальных услуг и для выполнения требований законодательства Российской Федерации. Состав обрабатываемых персональных данных получателей социальных услуг

 -           Ф.И.О.;

 -           дата рождения;

 -           пол;

 -           место рождения;

 -           семейное положение;

 -           адрес постоянной регистрации, индекс;

 -           адрес временной регистрации, индекс;

 -           телефон;

 -       сведения об удостоверении личности (тип удостоверения личности, номер, серия, кем выдан, дата выдачи, срок действия);

 -           страховой номер индивидуального лицевого счета в Пенсионном фонде РФ;

 -           группа инвалидности;

 -           номер лицевого счета;

 -           государственные награды, иные и знаки отличия (кем награжден и когда);

 -           социальное положение;

 -           имущественное положение;

 -           образование, профессия;

 -           семейное положение;

 - степень, родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);

 -           места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);

 -           состояние здоровья;

 -           реквизиты полиса ОМС (ДМС);

 -           индивидуальная реабилитация инвалида;

 -           индивидуальная программа предоставления социальных услуг.

 Обработка персональных данных в Учреждении осуществляется на основании следующих нормативно-методических документов:

-    Конституция Российской Федерации (статьи 23, 24).

-    Федеральный закон «О персональных данных» от 27 .07.2006 № 152-ФЗ.

Трудовой кодекс Российской Федерации (статьи 85-90).

 

3. Принципы и условия обработки персональных данных

 

Обработка персональных данных в Учреждении осуществляется на основе следующих принципов:

 -    обработка персональных данных осуществляется на законной и справедливой основе;

 -    обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

 -    при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

 -    обработке подлежат только персональные данные, которые отвечают целям их обработки;

 -    обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

 -    хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

 -    при обработке персональных данных обеспечивается раздельное хранение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.

 При обработке персональных данных в Учреждении обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Учреждение принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

 Обработка персональных данных в Учреждении осуществляется на основании письменного согласия субъекта персональных данных. Учреждение не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

 Учреждение не осуществляет принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

 Поручение обработки персональных данных третьему лицу осуществляется Учреждением только на основании договора, заключенного между Учреждением и третьим лицом, либо ином основании, предусмотренном действующим законодательством, при наличии согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

4. Права субъекта персональных данных

4.1            Получить от Учреждения сведения, касающиеся обработки персональных данных Учреждением, а именно:

-    подтверждение факта обработки персональных данных Учреждением;

-    правовые основания и цели обработки персональных данных;

-    способы обработки персональных данных, применяемые в Учреждении;

-    наименование и место нахождения Учреждения, сведения о лицах    (за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании федерального закона;

-    обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-    сроки обработки персональных данных, в том числе сроки их хранения;

-    наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

-    иные сведения, предусмотренные Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ или другими федеральными законами.

4.2 Потребовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.3 Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.

4.4 Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.

Получение вышеуказанных сведений, уточнение, блокирование или уничтожение Учреждением персональных данных, а также выполнение Учреждением иных правомерных требований субъекта персональных данных осуществляется на основании письменного запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской федерации.

В соответствии с требованиями Федерального закона  «О персональных данных» от 27 .07.2006  № 152-ФЗ Учреждение обязано:

5.1  Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ от предоставления такой информации в срок, предусмотренный Федеральным законом «О персональных данных».

5.2  По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

5.3  Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:

-    субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;

-    персональные данные получены Учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

-    персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

-    Учреждение осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

 5.4  В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных,  если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Учреждением и субъектом персональных данных либо если Учреждение не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных  Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ  или другими федеральными законами.

 При обработке персональных данных Учреждение принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях обеспечивают сохранность носителей персональных данных и средств защиты информации, а также исключают возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Учреждение принимает следующие основные меры по обеспечению безопасности персональных данных при их обработке:

-    определяет угрозы безопасности персональных данных при их обработке в информационных системах;

-    применяет соответствующие технические и организационные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требования к защите персональных данных для установленных классов;

-    применяет средства защиты информации, прошедшие в установленном действующим законодательством Российской Федерации порядке процедуру оценки соответствия;

-    осуществляет хранение персональных данных, вне зависимости от типа носителя, в охраняемом помещении, оснащенном противопожарной сигнализацией;

-    устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах;

-    при обработке персональных данных в информационных системах контролирует обеспечение уровня защищенности персональных данных и предотвращение несанкционированного доступа к ним и/или передачи их лицам, не имеющим права доступа к такой информации;

-    оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных, в том числе до ввода в эксплуатацию новых информационных систем.

В целях координации действий по обеспечению безопасности персональных данных в Учреждении назначены лица, ответственные за безопасность персональных данных.

Внесение изменений в настоящую Политику должно производиться при изменении действующего законодательства Российской Федерации, по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, по результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.

Настоящая Политика и все изменения к ней утверждаются и вводятся в действие руководителем Учреждения.

Ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Учреждения.

Контактные реквизиты лица, ответственного за организацию обработки персональных данных: тел.  8 (3466) 28 16 41; 8(3466) 28 16 52.

  2.1  Цели и способы обработки персональных данных

 Цель обработки персональных данных субъектов – обеспечение выполнения работ и предоставления услуг, определенных уставом Учреждения, выполнения договорных обязательств Учреждения перед получателями социальных услуг, а также содействие работникам Учреждения в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работников и Учреждения как работодателя.

Обработка (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение) персональных данных  в Учреждении подразделяется на:

-    обработку персональных данных в информационных системах персональных  данных с использованием средств автоматизации;

-    обработку персональных данных, осуществляемую без использования средств автоматизации.

2.2  Состав обрабатываемых персональных данных

 Учреждение обрабатывает персональные данные различных субъектов, распределяемых по следующим категориям:

          2.2.1 Персональные данные работников Учреждения – информация, необходимая Учреждению в связи с реализацией трудовых отношений и касающаяся конкретного работника. Состав обрабатываемых персональных данных сотрудников:

-          Ф.И.О.;

-          пол;

-          дата рождения;

-          место рождения;

-          гражданство;

-          сведения о знании иностранных языков;

-          сведения об образовании (в том числе наименование образовательного учреждения (серия, номер, год окончания, квалификация, специальность по диплому)); 

-          данные о послевузовском профессиональном образовании;

-          профессия;

-          стаж работы;

-          семейное положение;

-          состав семьи;

-          паспортные данные;

-          адрес места жительства (по паспорту, фактически);

-          дата регистрации по месту жительства;

-          номер контактного телефона;

-          табельный номер;

-          идентификационный номер налогоплательщика;

-          страховой номер индивидуального лицевого счета в Пенсионном фонде РФ;

-          характер работы (постоянно, временно);

-          вид работы (основная, по совместительству);

-          сведения о Трудовом договоре (номер, дата);

-          сведения о воинском учете (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение ВУС, категория годности к военной службе, наименование военного комиссариата по месту жительства и пр.);

-          дата приему на работу;

-          структурное подразделение;

-          должность;

-          оклад;

-          сведения по аттестации (дата аттестации, решение комиссии и пр.);

-          данные о курсах повышения квалификации;

-          данные о профессиональных переподготовках; награды (поощрения);

-          почетные звания.

2.2.2 Персональные данные получателей социальных услуг– информация, необходимая Учреждению для выполнения своих обязательств в рамках договорных отношений с получателями социальных услуг и для выполнения требований законодательства Российской Федерации. Состав обрабатываемых персональных данных получателей социальных услуг:

-           Ф.И.О.;

-           дата рождения;

-           пол;

-           место рождения;

-           семейное положение;

-           адрес постоянной регистрации, индекс;

-           адрес временной регистрации, индекс;

-           телефон;

-           сведения об удостоверении личности (тип удостоверения личности, номер, серия, кем выдан, дата выдачи, срок действия);

-           страховой номер индивидуального лицевого счета в Пенсионном фонде РФ;

-           группа инвалидности;

-           номер лицевого счета;

-           государственные награды, иные и знаки отличия (кем награжден и когда);

-           социальное положение;

-           имущественное положение;

-           образование, профессия;

-           семейное положение;

-           степень, родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);

-           места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);

-           состояние здоровья;

-           реквизиты полиса ОМС (ДМС);

-           индивидуальная реабилитация инвалида;

-           индивидуальная программа предоставления социальных услуг.

2.3  Правовое основание обработки персональных данных

  Обработка персональных данных в Учреждении осуществляется на основании следующих нормативно-методических документов:

-    Конституция Российской Федерации (статьи 23, 24).

-    Федеральный закон «О персональных данных» от 27 .07.2006 № 152-ФЗ.

-    Трудовой кодекс Российской Федерации (статьи 85-90).

Политика в отношении обработки персональных данных П-01-2016