Управление социальной защиты населения
Администрации Красногвардейского района
Белгородской области

КРАСНОГВАРДЕЙСКИЙ РАЙОН

УПРАВЛЕНИЕ СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ АДМИНИСТРАЦИИ КРАСНОГВАРДЕЙСКОГО РАЙОНА БЕЛГОРОДСКОЙ ОБЛАСТИ

(УСЗН администрации Красногвардейского района)

ПРИКАЗ

Бирюч

«18» сентября 2019 г.                                                                                             № 88

Во исполнение требований Конституции Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федерального закона от 01 января 2001 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 01 января 2001 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Трудового кодекса Российской Федерации, Федерального закона от 01 января 2001 года №25-ФЗ «О муниципальной службе в Российской Федерации», Федерального закона 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции», Федерального закона от 01 января 2001 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», постановления Правительства Российской Федерации от 01 января 2001 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иных нормативно-правовых документов по защите информации, приказываю:

1. Утвердить Политику в отношении обработки персональных данных в управлении социальной защиты населения администрации Красногвардейского района Белгородской области (далее – Политика) (прилагается).

2. Обеспечить неограниченный доступ заинтересованных лиц к Политике.

3. Опубликовать Политику на официальном сайте управления в информационно-телекоммуникационной сети Интернет, а также обеспечить возможность доступа к указанному документу с использованием средств информационно-телекоммуникационной сети.

4. Главному специалисту по кадровым вопросам, работе с нестационарными учреждениями и социальной поддержке населения Скляровой Н.А. ознакомить сотрудников управления социальной защиты населения администрации района, осуществляющих обработку персональных данных, с политикой в отношении обработки персональных данных, утвержденной настоящим приказом.

5. Контроль за исполнением настоящего приказа оставляю за собой.

Начальник управления                                                                И.В. Луканюк  

ПОЛИТИКА

в отношении обработки персональных данных в управлении социальной защиты населения администрации Красногвардейского района Белгородской области

1. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным, получившим доступ к персональным данным, лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящая Политика в отношении обработки персональных данных в управлении социальной защиты населения администрации Красногвардейского района Белгородской области (далее – Политика) является официальным документом, в котором определены общие принципы, условия и цели обработки персональных данных, сведения о реализуемых требованиях к защите персональных данных.

2.2. Настоящая Политика распространяется на всех сотрудников УСЗН администрации района (далее – Оператор), осуществляющих обработку персональных данных, включая муниципальных служащих, иных сотрудников Оператора, сотрудников, работающих по гражданско-правовым договорам, а также на сотрудников сторонних организаций, взаимодействующих с Оператором на основании соответствующих нормативно-правовых и организационно-распорядительных документов.

2.3. Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъектами персональных данных являются муниципальные служащие Оператора, иные сотрудники Оператора, обрабатывающие персональные данные, граждане, претендующие на замещение вакантных должностей, а также граждане и организации, обращающиеся к Оператору и взаимодействующие с Оператором в связи с предоставлением государственных и муниципальных услуг, исполнением переданных полномочий.

3.2. Собственником своих персональных данных является субъект персональных данных, и он самостоятельно решает вопрос передачи своих персональных данных Оператору.

3.3. Обработка персональных данных Оператором осуществляется на основе принципа законности целей и способов обработки персональных данных и добросовестности.

3.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, соответствовать полномочиям Оператора. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.6. Содержание, характер и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.8. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении сроков хранения, если иное не определено законом.

3.9. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, соглашением, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»). Обработка персональных данных в необходимых случаях осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Обработка персональных данных допускается в следующих случаях:

1) Обработка персональных данных необходима для осуществления и выполнения, возложенных на Оператора законодательством Российской Федерации, Белгородской области, Красногвардейского района и закрепленных в Положении об управлении социальной защиты населения администрации Красногвардейского района Белгородской области, функций, полномочий и обязанностей;

2) Обработка персональных данных необходима для заключения и исполнения договоров, соглашений, стороной которых является субъект персональных данных;

3) Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

4) Осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе;

5) Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом;

6) Осуществляется обработка персональных данных, если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, но получение согласия субъекта персональных данных невозможно.

4.2. Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных;

- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

- обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии терроризму, о противодействии коррупции, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено Федеральным законом.

4.3. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические персональные данные - могут обрабатываться Оператором только при наличии согласия в письменной форме субъекта персональных данных.

4.4. Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4.5. Трансграничная передача персональных данных на территории иностранных государств может осуществляться Оператором только при наличии согласия субъекта персональных данных.

4.6. До начала осуществления трансграничной передачи персональных данных Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

4.7. В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных сотрудников, в том числе справочники и адресные книги. В общедоступные источники персональных данных могут включаться его фамилия, имя, отчество, должность, номера контактных телефонов, адрес электронной почты.

4.8. Сведения о сотруднике должны быть в любое время исключены из общедоступных источников персональных данных по его требованию либо по решению суда или иных уполномоченных государственных органов.

4.9. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, соглашения, либо путем принятия государственным или муниципальным органом соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

- исполнения требований Трудового кодекса Российской Федерации, Федерального закона «О муниципальной службе в Российской Федерации»: в целях обеспечения кадровой работы, в том числе в целях содействия в прохождении муниципальной службы, содействия сотрудникам в выполнении работы, обучения и должностного роста сотрудников, учета результатов исполнения муниципальными служащими и иными сотрудниками должностных обязанностей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции;

- исполнения требований налогового законодательства в связи с исчислением и уплатой налогов, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;

- взаимодействия Оператора с организациями, в связи с исполнением переданных государственных полномочий и выполнением функций;

- оказания Оператором гражданам государственных и муниципальных услуг, выполнения функций;

- заключения, исполнения и прекращения договоров, контрактов, соглашений с физическими, юридическими лицами, индивидуальными предпринимателями, в случаях, предусмотренных действующим законодательством;

- рассмотрения индивидуальных или коллективных личных, письменных и устных обращений или обращений в форме электронного документа, с последующим уведомлением граждан-заявителей о результатах рассмотрения, а также поручений вышестоящих органов, иных государственных органов о рассмотрении обращений;

- автоматизации процессов получения, переработки, хранения и передачи информации о детях, оставшихся без попечения родителей, и граждан, желающих принять ребенка на опеку (попечительство) и усыновление.

5.2. Обработка персональных данных, в связи с предоставлением государственных и муниципальных услуг и исполнением функций, осуществляется без согласия субъектов персональных данных (заявителей) в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных», Федеральным законом «Об организации предоставления государственных и муниципальных услуг», Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации» и иными нормативными правовыми актами, определяющими предоставление государственных и муниципальных услуг и исполнение функций в установленной сфере ведения Оператора, за исключением случаев, предусмотренных федеральными законами.

5.3. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных (заявителей), необходимых в связи с предоставлением государственных и муниципальных услуг и исполнением функций, осуществляется в случаях и порядке, предусмотренных федеральными законами, законами Российской федерации, законами и иными нормативно-правовыми актами Белгородской области и Красногвардейского района.

6. МЕРЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

6.2. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными положениями и инструкциями Оператора.

6.3. Информационные системы Оператора содержат персональные данные муниципальных служащих, других сотрудников, а также иных лиц, полученные из документов, из обращений граждан, в связи с предоставлением государственных и муниципальных услуг и исполнением функций, документов организаций и иных источников персональных данных.

Информация может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном (материальном) носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

6.4. Оператор предпринимает следующие организационно-технические меры:

- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

- ограничение и регламентация состава сотрудников, имеющих доступ к персональным данным;

- ознакомление сотрудников с требованиями федерального законодательства и нормативными документами Оператора по обработке и защите персональных данных;

- обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

-  уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится Оператором способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание);

-  по истечении срока хранения (в течение 30 дней, если иное не указано в нормативно-правовых актах) документы, либо иные материальные носители персональных данных уничтожаются Оператором без возможности восстановления с составлением акта;

-  уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится Оператором путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о внесенных в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными;

- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

- разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

- проверка готовности и эффективности использования средств защиты информации;

- реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации. Доступ к прикладным программным средствам предоставляется в соответствии с функциями, предусмотренными должностными обязанностями муниципальных служащих и иных сотрудников Оператора, имеющих право осуществлять обработку персональных данных;

- регистрация и учёт действий пользователей информационных систем персональных данных;

- парольная защита доступа пользователей к информационной системе персональных данных;

- применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;

- применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;

- осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;

- применение в необходимых случаях средств межсетевого экранирования;

- применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

- централизованное управление системой защиты персональных данных;

- резервное копирование информации;

- обучение сотрудников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

- учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;

- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

- размещение технических средств обработки персональных данных, в пределах охраняемой территории;

-  поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Оператора.

7.2. Иные права и обязанности Оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

7.3. Должностные лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

7.4. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим сотрудникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения. Сотрудник, имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Оператору (в соответствии с пунктом 7 статьи 243 Трудового кодекса РФ).

7.5. В отдельных случаях, при разглашении персональных данных, сотрудник, совершивший указанный проступок, несет ответственность в соответствии со статьей 13.14 Кодекса об административных правонарушениях РФ.

7.6. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни), предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса РФ.

7.7. Уполномоченный сотрудник Оператора за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.