Трудовой кодекс Российской Федерации (ст. 88 гл. 14 ТК РФ "Передача персональных данных работника")
Федеральный Закон №178 от 17.07.1999 г. (ред. 01.04.2019 г.) "О государственной социальной помощи"
Федеральный Закон от 27.07.2006 г. № 152-ФЗ "О персональных данных"
Согласие на обработку персональных данных субъекта персональных данных
Политика обработки персональных данных в Государственном бюджетном учреждении «Центр социального обслуживания граждан пожилого возраста и инвалидов Бутурлинского района»
1. Общие положения
1.1 Политика обработки персональных данных в Государственном бюджетном учреждении «Центр социального обслуживания граждан пожилого возраста и инвалидов Бутурлинского района» (далее - Политика) определяет основные принципы, цели , условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в Государственном бюджетном учреждении «Центр социального обслуживания граждан пожилого возраста и инвалидов Бутурлинского района» (далее - учреждение) персональных данных , действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых в учреждении требованиях к защите персональных данных.
1.2. Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Локальные акты и иные документы, регламентирующие обработку персональных данных в учреждении, в том числе при их обработке в информационных системах, содержащих персональные данные, разработаны с учетом положений Политики.
1.4. В Политике используются следующие основные термины:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных , а также определяющие цели обработки персональных данных, состав персональных данных , подлежащих обработке, действия (операции) , совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление , хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование , удаление, уничтожение;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных обработки персональных данных (за исключением необходима для уточнения персональных данных);
- временное прекращение случаев, если обработка, уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.5. Основные обязанности учреждения:
1.5.1. Должностные лица учреждения, в обязанности которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено зако но м, в соответствии с Регламентом реагирования на запросы субъектов персональных данных.
1.5.2. Учреждение обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.
1.6. Права и обязанности субъектов персональных данных:
1.6.1. В целях защиты своих персональных данных, хранящихся в учреждении, субъект персональных данных имеет право:
- получить доступ к своим персональным данным;
- получить информацию, касающуюся обработки его персональных данных;
- требовать исключения или исправления неверных или неполных персональных данных;
- получать свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- требовать сохранения и защиты своей личной и семейной тайны;
- обжаловать в суде любые неправомерные действия или бездействия учреждения при обработке и защите его персопалытых данных.
1.6.2. Работники учреждения обязаны:
- в случаях, предусмотренных законом или до гово ром, передавать учреждению достове рные документы, содержащие персональные данные;
- не пре доста влят ь неверные пе рсо на л ьные данные, а в слу чае изменений в персональных данны х, обнаружения ошибок или неточностей в них (фамилия, место жительства и т. д.), незамедлительно сообщить об этом в учреждение.
2. Цели сбора персональных данных
2.1. Персональные данные обрабатываются в учреждении в целях:
2.1.1 обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативны х правовых актов Российской Федерации;
2.1.2 регулирования трудовых отношений с работниками учреждения;
2.1.3 подготовки, заключения, исполнения и прекращения договоров с контрагентами;
2.1.4 исполнения судебных актов , актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
2.1.5 осуществления прав и законных интересов учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными актами учреждения;
2.1.6 в иных законных целях.
2.2. Учреждение осуществляет обработку персональных данных работников учреждения и других субъектов персональных данных, не состоящих с учреждением в трудовых отношениях , в соответствии со следующими принципами:
2.2.1 обработка персональных данных осуществляется на законной и справедливой основе;
2.2.2 обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
2.2.3 не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.2.4 обработке подлежат только персональные данные, которые отвечают целям их обработки ;
2.2.5 содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
2.2.6 при обработке персональных данных обеспечиваются точность персональных данных, их достаточность , а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В учреждении принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению не полных или неточных персональных данных;
2.2.7 хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, нс дольше, чем этого требуют цеJi и обработки персональных данных, если срок хранения пе рсона л ьны х данных не установлен федеральным законом;
2.2.8 обрабатываемые персональные данные уничтожаются либо обезличиваются rro достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3. Правовые основания обработки персональных данных
3.1. Политика обработки персональных данных в учреждении определяется в соответствии со следующими нормативными правовыми актами:
- Трудовой кодекс Российской Федерации;
- Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- постановление Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных ланных и технологиям хранения таких данных вне информационных систем персональных данных»;
- постановление Правительства Российской Федерации от 1 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказ Роскомнадзора от 05 сентября 2013 г. No 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
3.2. В целях реализации положений Политики в учреждении разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
- положение о защите и обработке персональных данных работников учреждения;
- положение о защите и обработке персональных данных получателей социальных услуг учреждения;
- иные локальные акты и документы, регламентирующие вопросы обработки персональных данных в учреждении.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Объем персональных данных, обрабатываемых в учреждении, определяется в соответствии с законодательством Российской Федерации и локальными актами учреждения с учетом целей обработки персональных данных, указанных в разделе 2 Политики.
4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в учреждение не осуществляется.
4.3. В учреждение обрабатываются следующих категорий субъектов:
- персональные данные кандидатов, работников, родственников работников, лиц, ранее состоявших в трудовых отношениях с учреждением;
- физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности;
- контрагентов физических лиц, представителей и работников контрагентов (юридических лиц).
4.3.1. Объем обрабатываемых персональных данных работников учреждения.
При приеме на работу в учреждение специалист по кадрам обрабатывает следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство , образование , профессия , стаж работы, состояние в браке, состав семьи, паспортные данные, адрес места жительства);
- сведения о воинском учете;
- другие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.
В дальнейшем в личную карточку работника по форме Т-2 вносят сведения:
- о переводах на другую работу;
- аттестации , повышении квалификации , профессиональной переподготовке;
- наградах (поощрениях), почетных званиях;
- социальных льготах, на которые работник имеет право в соответствии с законодательство м.
Цели обработки персональных данных работников учреждения:
- ведение кадрового учета;
- учет рабочего времени работников;
- расчет заработной платы работников;
- ведение налогового учета;
- ведение воинского учета;
- предоставление в государственные органы регламентированной отчетности;
- обязательное и добровольное медицинское страхование работников;
- архивное хранение данных;
- содействие работнику в трудоустройстве, обучении, продвижении по службе, пользовании различных льгот.
Получение и обработка персональных данных работника учреждения должны осуществляться исключительно в указанных целях.
Полученные персональные данные, необходимые для достижения вышеуказанных целей, отражаются в личном деле работника в соответствии с требованиями трудового законодательства и внутренних локальных документах учреждения, регламентирующих кадровое делопроизводство и учет.
4.3.2. Персональные данные физических лиц по договорам гражданского правового характера , авторов результатов интеллектуальной деятельности; контрагентов - физических лиц и представителей и работников контрагентов (юридических лиц).
Состав и объем персональных данных указанных субъектов определяется в соответствии с внутренними локальными документами учреждения, регламентирующими деятельность по реализации уставных целей, осуществление сделок в соответствии с законодательством Российской Федерации, на основании утвержденных форм документов (договоров /анкет и заявок).
Цели обработки персональных данных указанных субъектов:
- реализация уставных целей учреждения;
- осуществление сделок в соответствии с законодательством Российской Федерации.
5. Порядок и условия обработки персональных данных
5.1. Учреждение при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных актов учреждения в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в учреждение;
- издает локальные акты, определяющие политику и вопросы обработки и защиты персональных данных в учреждение;
- осуществляет ознакомление работников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных актов учреждения в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
- размещает на сайте или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
5.2. Обработка персональных данных в учреждение осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
5.3. Учреждение осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) , извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование , удаление и уничтожение персональных данных.
5.4. Обработка персональных данных в учреждение осуществляется следующими способами:
- без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
6. Актуализация, исправление , удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. В случае предоставления субъектом персональных данных фактов о неполных , устаревших, недостоверных или незаконно полученных персональных данных учреждение обязано внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.
6.2. В случае подтверждения факта неточности персональных данных персональные данные подлежат их актуализации, а при неправомерности их обработки - такая обработка должна быть прекращена.
6.3. При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, является субъект персональных данных;
- учреждение не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между учреждением и субъектом персональных данных.
6.4. Учреждение обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.