+7(8162)78-78-32
+7-981-603-12-18

Обратная связь  apparat@opnov.ru

Порядок обработки персональных данных

ПРАВИЛА

обработки персональных данных в государственном областном казенном учреждении «Общественно-аналитический центр»

 

Общие положения

  1. Настоящие Правила регламентируются Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 года, Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 года (далее - Федеральный закон) и другими нормативными правовыми актами.
  2. В целях настоящих Правил используются следующие понятия:

Персональные данные - информация, необходимая государственному областному казенному учреждению «Общественно-аналитический центр» (далее Учреждение), получаемая Учреждением в связи с трудовыми отношениями и выполнением уставной деятельности Учреждения.

Субъект персональных данных – работники, состоящие в трудовых отношениях с Учреждением; близкие родственники работников; уволенные работники; близкие родственники уволенных работников; кандидаты на вакантные должности; физические лица, состоящие в гражданско-правовых отношениях с Учреждением; участники конкурсов, администрируемых Учреждением.

  1. К персональным данным относятся:

- фамилия, имя, отчество;

- пол;

- национальность;

- дата и место рождения;

- гражданство;

- номер страхового свидетельства;

- ИНН;

- знание иностранных языков;

- сведения об образовании (номер, серия дипломов, год окончания);

- данные о приобретенных специальностях;

- семейное положение;

- данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);

- фактическое место проживания;

- контактная информация;

- данные о военной обязанности;

- данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.);

- сведения о получении дополнительного профессионального образования;

- сведения о судимости;

- сведения о наградах и иных поощрениях;

- сведения о дисциплинарных взысканиях;

- сведения, содержащиеся в справках о доходах;

- номер расчетного счета;

- фотографии;

- иные сведения.

  1. Учреждение обязано сообщить субъекту персональных данных о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
  2. Персональные данные субъекта персональных данных являются конфиденциальной информацией и не могут быть использованы Учреждением или любым иным лицом в личных целях.
  3. При определении объема и содержания персональных данных субъекта персональных данных Учреждение руководствуется настоящим Положением, Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, иным законодательством Российской Федерации.
  4. Субъект персональных данных не должен отказываться от своих прав на сохранение и защиту тайны.

 

Условия и порядок обработки персональных данных субъектов персональных данных

  1. При получении, обработке, хранении и передаче персональных данных субъектов персональных данных, работники, допущенные к работе с персональными данными, обязаны соблюдать следующие требования:

1) обработка персональных данных субъектов персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, Трудового кодекса Российской Федерации, федеральных законов и иных нормативных правовых актов, содействия в выполнении работы, обучения и должностного роста, учета результатов исполнения должностных обязанностей, а также в связи с осуществлением функций и полномочий Учреждения и оказанием государственных услуг;

2) персональные данные следует получать лично у субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта персональных данных заранее и получить от него письменное согласие, при этом сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных;

3) запрещается получать, обрабатывать и приобщать к личному делу работника не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

4) при принятии решений, затрагивающих интересы субъекта персональных данных, запрещается основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

5) передача персональных данных субъектов персональных данных третьей стороне не допускается без их письменного согласия, за исключением случаев, установленных федеральными законами.

  1. Учреждение или уполномоченные им лица вправе подвергать обработке (в том числе автоматизированной) персональные данные субъектов персональных данных при осуществлении следующих функций и полномочий:

1) оформление документов по представлению граждан к наградам и иным поощрениям Новгородской области, к награждению государственными наградами Российской Федерации, к поощрениям Президента Российской Федерации и поощрениям Правительства Российской Федерации, ведомственным наградам федеральных исполнительных органов государственной власти, иных федеральных государственных органов,

2) предоставление Учреждением государственной услуги по назначению пенсии за выслугу лет работникам учреждения.

  1. Доступ к персональным данным в Учреждении осуществляется только теми работниками, которым доступ к персональным данным необходим для исполнения должностных обязанностей.
  2. Обеспечение безопасности персональных данных, обрабатываемых в базах данных Учреждения, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

4.1. Определение угроз безопасности персональных данных при их обработке в базах данных Учреждения;

4.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в базах данных Учреждения, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

4.3. Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

4.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию баз персональных данных;

4.5. Учет машинных носителей персональных данных;

4.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

4.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

4.8. Установление правил доступа к персональным данным, обрабатываемым в базах данных Учреждения, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в базах данных Учреждения;

4.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности баз персональных данных.

  1. Лицо, ответственное за обеспечение безопасности персональных данных при их обработке в базах Учреждения (за защиту персональных данных), организует и контролирует ведение учета машинных носителей персональных данных.
  2. Обмен персональными данными при их обработке в базах персональных данных Учреждения осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
  3. Доступ работников Учреждения к персональным данным, находящимся в базах персональных данных учреждения, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
  4. В случае выявления нарушений порядка обработки персональных данных в базах персональных данных учреждения лицом, ответственным за организацию обработки персональных данных в учреждении, незамедлительно принимаются меры по установлению причин нарушений и их устранению.

 

Сроки обработки и хранения персональных данных субъекта персональных данных

  1. Обработка персональных данных субъекта персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъекту персональных данных в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Сроки обработки и хранения персональных данных субъектов персональных данных определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных:

1) Персональные данные, содержащиеся в приказах Учреждения по личному составу (прием, перемещение, совмещение, перевод, увольнение, изменение фамилии, поощрения, награждения, оплата труда, премирование, различные выплаты, отпуска по уходу за ребенком, отпуска без сохранения денежного содержания (заработной платы)) подлежат хранению в Учреждении с последующим формированием и передачей указанных документов в государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет.

2) Персональные данные, содержащиеся в приказах Учреждении о предоставлении отпусков, о дисциплинарных взысканиях, о материальной помощи, о краткосрочных внутрироссийских и зарубежных командировках, подлежат хранению в Учреждении в течение 5 лет с последующим уничтожением.

3) Персональные данные, содержащиеся в личных делах работников Учреждения, подлежат передаче в соответствующий орган для последующего хранения в соответствии с действующими правовыми актами Российской Федерации.

4) Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Учреждение в связи с оформлением документов по представлению граждан к награждению государственными наградами Российской Федерации и наградами и поощрениями Новгородской области, иными наградами и поощрениями, а также в связи с предоставлением учреждением государственных услуг определяются областными нормативными правовыми актами и нормативными правовыми актами Российской Федерации, регламентирующими порядок их сбора и обработки.

  1. Срок хранения персональных данных, внесенных в базы персональных данных учреждения, должен соответствовать сроку хранения бумажных оригиналов.
  2. Персональные данные, предоставляемые субъектами персональных данных на бумажном носителе в связи с реализацией учреждением своих функций и полномочий, предоставлением государственных услуг хранятся на бумажных носителях в учреждении.
  3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
  4. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.
  5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
  6. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководитель учреждения.

 

Права субъекта персональных данных на защиту его персональных данных

  1. Субъект персональных данных в целях обеспечения защиты своих персональных данных, хранящихся у Учреждения, имеет право:

- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;

- определять своих представителей для защиты своих персональных данных;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего Порядка и законодательства Российской Федерации.

При отказе Учреждения исключить или исправить персональные данные субъекта персональных данных субъект персональных данных вправе заявить Учреждению в письменном виде о своем несогласии с соответствующим обоснованием;

- требовать от Учреждения извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.

  1. Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

 

Порядок уничтожения, блокирования персональных данных

  1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных Учреждение обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения на период проверки.
  2. В случае выявления неточных персональных данных при обращении субъекта персональных данных Учреждение обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
  3. В случае подтверждения факта неточности персональных данных Учреждение на основании сведений, представленных субъектом персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
  4. В случае выявления неправомерной обработки персональных данных, осуществляемой Учреждением, Учреждение в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных.
  5. В случае если обеспечить правомерность обработки персональных данных невозможно, Учреждение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.
  6. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных.
  7. Должностными лицами Учреждения, руководителями структурных подразделений Учреждения ответственными за документооборот и архивирование, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшим сроком хранения, подлежащих уничтожению.
  8. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании постоянно действующей экспертной комиссии Учреждения (далее экспертная комиссия), состав которой утверждается приказом директора учреждения. По итогам заседания составляется акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность.
  9. Уничтожение документов на бумажных носителях должно осуществляться работниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами (сожжение или размол на бумагорезательной машине).
  10. По окончании процедуры уничтожения документов на бумажных носителях подготавливается соответствующий акт, подписывается членами экспертной комиссии и утверждается лицом уполномоченным директором Учреждения.
  11. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации. При уничтожении персональных данных экспертной комиссией составляется акт с указанием, какие файлы были уничтожены.
  12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Учреждение обязано прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
  13. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 3-5 и 12 настоящего Положения, Учреждение осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 

Ответственность за нарушение норм, регулирующих порядок обработки персональных данных

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном законодательством Российской Федерации, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

Наверх