ПОЛИТИКА
в отношении обработки и защиты персональных данных
в Государственном бюджетном учреждении культуры города Москвы "Культурный центр "Вдохновение"
- Общие положения
1.1. Политика в отношении обработки и защиты персональных данных в Государственном бюджетном учреждении культуры города Москвы "Культурный центр "Вдохновение" (далее – Политика) разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и других нормативно-правовых актов Российской Федерации.
1.2. Настоящей Политикой определяется порядок обработки персональных данных субъектов персональных данных Государственного бюджетного учреждения культуры города Москвы "Культурный центр "Вдохновение" (далее – Учреждение), как с использованием средств автоматизации, так и без использования таковых.
1.3. Целью настоящей Политики является обеспечение защиты прав и свобод работников Учреждения при обработке их персональных данных,
в том числе защиты прав на неприкосновенность частной жизни, личную
и семейную тайну.
1.4. Политика распространяется также на персональные данные любых иных лиц, содержащиеся в документах, полученных Учреждением из других организаций, в обращениях граждан и иных источниках персональных данных.
1.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, а также затруднения реализации прав и свобод граждан Российской Федерации.
1.6. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Учреждения.
1.7. Обработка персональных данных субъекта персональных данных без его письменного согласия не допускаются, если иное
не определено законом. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении сроков хранения, если иное не определено законом.
1.8. Должностные лица Учреждения, в обязанности которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления со своими персональными данными в установленном порядке, если иное не предусмотрено законом.
1.9. Настоящая Политика и изменения к ней являются обязательными для исполнения всеми работниками Учреждения, имеющими доступ к персональным данным.
1.10. Все работники Учреждения должны быть ознакомлены под подпись с настоящей Политикой.
2. Основные понятия, применяемые в настоящей Политике
2.1. Персональные данные – любая информация, относящаяся к определенному (или определяемому на основании такой информации) физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем персональных данных, обрабатываемых в Учреждении, настоящей Политикой и локальными правовыми актами Учреждения.
2.2. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу, доступ), обезличивание, блокирование, уничтожение персональных данных.
2.3. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение
в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.4. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
2.5. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
2.6. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2.7. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2.8. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких данных с использованием средств автоматизации или без использования таких средств.
2.9. Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и которая представляет собой коммерческую, служебную или личную тайны, охраняющиеся владельцем.
2.10. Конфиденциальность персональных данных – обязательное для соблюдения любым работником Учреждения (или иным получившим доступ к персональным данным лицом) требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.11. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2.12. Трансграничная передача персональных данных – передача персональных данных через государственную границу Российской Федерации органу власти иностранного государства, физическому лицу или юридическому лицу иностранного государства.
2.13. Работники – лица, имеющие трудовые отношения с Учреждением, либо кандидаты на вакантную должность, вступившие в отношения по поводу приема на работу.
2.14. Оператор – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
2.15. К субъектам персональных данных (далее – субъекты) относятся работники Учреждения, включая совместителей и лиц, выполняющие работы по договорам гражданско-правового характера, персональные данные которых переданы Учреждению (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для обработки, а также иные лица, предоставляющие персональные данные Учреждению.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных в Учреждении осуществляется на основе следующих принципов:
3.1.1. Законности целей и способов обработки персональных данных и добросовестности;
3.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;
3.1.3. Соответствия объема, характера и способов обработки персональных данных целям обработки;
3.1.4. Достоверности и достаточности персональных данных для целей обработки;
3.1.5. Недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
3.1.6. Недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
3.2. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, производится не дольше, чем этого требуют цели их обработки.
3.3. Уничтожение персональных данных производится при достижении целей обработки или в случае утраты необходимости в их обработке.
3.4. Собственником персональных данных является субъект персональных данных, и он самостоятельно решает вопрос передачи своих персональных данных в Учреждение.
3.5. В целях информационного обеспечения функционирования в Учреждении могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться фамилия, имя, отчество, адрес, номер телефона, сведения о должности и иные персональные данные, предоставленные субъектом.
4. Понятие и состав персональных данных
4.1. Под персональными данными субъектов персональных данных понимается информация, необходимая Учреждению в связи с трудовыми отношениями, касающаяся конкретного субъекта персональных данных (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия) и позволяющая идентифицировать его личность, а также информация, необходимая в целях осуществления своей уставной и платной деятельности.
4.2. Исчерпывающий состав персональных данных субъектов регулярно актуализируется и приводится в отдельном документе Учреждения, который утверждается приказом Учреждения.
4.3. Любые документы, содержащие персональные данные, являются конфиденциальными.
5. Получение, обработка и хранение персональных данных
5.1. Учреждение получает первоначальные сведения о персональных данных субъекта из его конфиденциальных документов (непосредственно от субъекта персональных данных) либо от лица, которое заранее получило согласие от субъекта персональных данных письменное согласие на распространение персональных данных Учреждению и обработку таких персональных данных Учреждением.
5.2. Субъект персональных данных либо лицо, которое заранее получило письменное согласие от субъекта персональных данных на распространение персональных данных Учреждению и обработку таких персональных данных Учреждением, обязаны представлять в Учреждение достоверные сведения.
5.3. Работники, ответственные за документационное обеспечение кадровой деятельности Учреждения, принимают от субъекта материальные носители персональных данных (документы, копии документов) и сверяют копии документов с подлинниками.
5.4. Учреждение имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.
5.5. Если персональные данные субъекта персональных данных возможно получить исключительно у третьей стороны, то субъект персональных данных уведомляется об этом заранее, и от него должно быть получено письменное согласие. В этом случае уполномоченные работники Учреждения сообщают субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных представить письменное согласие на их получение. В случае если субъект персональных данных уже дал письменное согласие на обработку своих персональных данных, дополнительное уведомление не требуется.
5.6. Обработка персональных данных субъекта персональных данных осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по работе, обеспечения личной безопасности, контроля количества
и качества выполняемой работы, обеспечения сохранности имущества, ведения уставной и платной деятельности Учреждения.
5.7. Необходимым условием обработки персональных данных работника Учреждения является его письменное согласие.
5.8. Письменное согласие субъекта персональных данных на обработку его персональных данных включает в себя:
5.8.1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
5.8.2. наименование и адрес оператора персональных данных;
5.8.3. цель обработки персональных данных;
5.8.4. перечень персональных данных, на обработку которых дается согласие субъекта;
5.8.5. перечень действий с персональными данными, на совершение которых дается согласие;
5.8.6. общее описание используемых Учреждением способов обработки персональных данных;
5.8.7. срок, в течение которого действует согласие, а также порядок его отзыва.
5.9. Письменные согласия на обработку оператором персональных данных работников Учреждения хранятся в личных делах.
5.10. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в соответствии с положением статьи 6 Федерального закона "О персональных данных".
5.11. Не требуется согласия субъекта на обработку его персональных данных в следующих случаях:
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия при данных обстоятельствах невозможно;
- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами;
- осуществляется обработка персональных данных по поручению оператора.
5.13. Учреждение не имеет права осуществлять обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состоянии здоровья, интимной, частной жизни, а также членства в общественных объединениях или профсоюзной деятельности, за исключением случаев, когда:
- субъект персональных данных дал согласие в письменной форме на обработку своих соответствующих персональных данных;
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно.
5.15. Защита персональных данных субъекта персональных данных от утраты или неправомерного их использования обеспечивается Учреждением в порядке, установленном федеральным законодательством Российской Федерации и локальными нормативными актами Учреждения.
5.16. Основными источниками, но не единственными, содержащими персональные данные работников Учреждения являются их личные дела. Личные дела хранятся уполномоченным лицом на материальных (бумажных) носителях. Личное дело пополняется на протяжении всей трудовой деятельности работника в Учреждении. Дополнительным источником персональных данных являются электронные документы, хранимые и обрабатываемые в базах данных информационных систем Учреждения.
5.17. Основными источниками, но не единственными, содержащими персональные данные иных субъектов персональных данных, чьи персональные данные были получены Учреждением в рамках осуществления уставной деятельности, являются информационные системы персональных данных.
5.18. Перечень уполномоченных сотрудников Учреждения, допущенных к обработке персональных данных, определяется приказом Учреждения.
5.19. Уполномоченные работники Учреждения обрабатывают персональные данные субъектов персональных данных, строго соблюдая весь комплекс мероприятий по обеспечению безопасности, установленный в Учреждении.
5.20. Руководители структурных подразделений несут ответственность за контроль соблюдения требований по обработке персональных данных во вверенных подразделениях.
5.21. Проведение работ по обеспечению Учреждения исправными техническими средствами обработки персональных данных (АРМ, серверами и т.д.) и поддержанию их в готовности к функционированию в составе систем обработки персональных данных производится инженером-программистом инженерно-технического отдела.
5.22. Помещения, в которых обрабатываются и хранятся персональные данные субъектов персональных данных, оборудуются надежными замками. Бесконтрольное пребывание в этих помещениях посторонних лиц исключается. В рабочее время помещения, в которых обрабатываются и хранятся персональные данные субъектов персональных данных, при отсутствии в них работников должны быть заперты.
5.23. Для хранения материальных носителей персональных данных используются сейфы или специально оборудованные шкафы, которые запираются на ключ.
5.24. Уборка помещений, в которых хранятся персональные данные, производится только в присутствии уполномоченных работников.
6. Права и обязанности сторон в области защиты персональных данных
6.1. Работник Учреждения обязан:
6.1.1. передать Учреждению или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством и иными законами Российской Федерации, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.
6.1.2. своевременно (в срок, не превышающий 5 рабочих дней) сообщать в кадровую службу Учреждения об изменении своих персональных данных.
6.2. Каждый субъект персональных данных имеет право:
6.2.1. на получение сведений об Учреждении, в том числе, о месте его нахождения, о наличии у Учреждения персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц;
6.2.2. на свободный и бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;
6.2.3. на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
6.2.5. требовать от Учреждения извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
6.2.6. требовать от Учреждения исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными
или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
6.2.7. при отказе оператора исключить, заблокировать или исправить персональные данные субъекта, заявить в письменной форме оператору (Учреждению) о своем несогласии (с соответствующим обоснованием такого несогласия), при отклонении оператором указанного обращения (несогласия) – обжаловать действия оператора в порядке, предусмотренном законодательством Российской Федерации;
6.3. Доступ субъекта персональных данных к своим персональным данным предоставляется при личном обращении или обращении его законного представителя с письменным запросом.
6.4. Сведения о персональных данных должны быть предоставлены субъекту персональных данных в доступной форме; при этом в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.5. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, не может приниматься исключительно на основании автоматизированной обработки его персональных данных, кроме случаев согласия субъекта, выраженного в письменной форме или в случаях, предусмотренных федеральными законами.
6.6. Учреждение обязано рассмотреть возражение субъекта персональных данных в течение семи рабочих дней со дня его получения и уведомить заявителя о результатах рассмотрения такого возражения.
6.7. В случаях установленной федеральным законом (включая налоговое и трудовое право) обязанности предоставления оператором персональных данных субъекта персональных данных третьим лицам, уполномоченные работники Учреждения обязаны разъяснить субъекту персональных данных юридические последствия отказа в предоставлении своих персональных данных.
6.8. Если персональные данные были предоставлены Учреждению на основании федерального закона или если персональные данные являются общедоступными, уведомление не производится.
6.9. Учреждение обязано безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить
или блокировать соответствующие персональные данные
при предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить соответствующего субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.
6.10. Учреждение обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Центральному Федеральному округу) по его запросу информацию, необходимую для осуществления деятельности указанного органа в установленные нормативно-правовыми актами Российской Федерации сроки.
6.11. При выявлении фактов недостоверности персональных данных или неправомерных действий с ними Учреждение осуществляет блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента получения такой информации на весь период проверки. При подтверждении факта недостоверности персональных данных уполномоченные сотрудники (на основании соответствующих документов) уточняют персональные данные и снимают их блокирование.
6.12. В случае выявления неправомерных действий с персональными данными учреждение в срок, не превышающий трех рабочих дней с момента выявления, устраняет допущенные нарушения. При невозможности устранения допущенных нарушений оператор в срок,
не превышающий трех рабочих дней с момента выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные лица уведомляют субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также указанный орган.
6.13. При достижении цели обработки персональных данных Учреждение незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней со времени достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами и уведомляет об этом субъекта персональных данных.
6.14. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней со времени поступления отзыва, если иное не предусмотрено соглашением сторон и (или) Федеральным законом. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
6.15. До начала обработки персональных данных Учреждение обязано уведомить уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Центральному Федеральному округу) о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:
7. Доступ к персональным данным субъекта персональных данных, их распространение и передача
7.1. Доступ к персональным данным субъекта персональных данных, их распространение и передача возможны только с отдельного письменного согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.2. В согласии субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). Не допускается указание положений об автоматической пролонгации срока действия согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
7.3. Внутренний доступ (доступ внутри Учреждения) к персональным данным субъектов персональных данных могут иметь работники Учреждения, которым эти данные необходимы для выполнения должностных обязанностей. Список работников и распределение доступа к персональным данным устанавливается приказом Учреждения.
7.4. После прекращения юридических отношений с субъектом персональных данных (увольнения работника и т.п.) документы, содержащие его персональные данные, хранятся в Учреждении в течение сроков, установленных архивным и иным законодательством Российской Федерации.
7.5. Внешний доступ к персональным данным субъектов персональных данных имеют массовые потребители персональных данных и контрольно-надзорные органы.
7.6. К числу массовых внешних потребителей персональных данных, обрабатываемых Учреждением, относятся следующие государственные и негосударственные структуры:
7.8. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц и иных случаев, установленных законодательством.
7.9. Учреждение обязано сообщать персональные данные субъекта персональных данных по надлежащим оформленным запросам суда, прокуратуры, иных правоохранительных органов.
7.10. В другие организации сведения о работающем или уже уволенном сотруднике работнике могут быть предоставлены только на основании письменного запроса на фирменном бланке, с приложением копии заявления работника.
7.11. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
7.12. При передаче персональных данных оператор должен соблюдать следующие требования:
7.12.1. не сообщать персональные данные субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни
и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами;
7.12.2. не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
7.12.3. предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено,
за исключением случаев, когда обмен персональными данными осуществляется в порядке, установленном федеральными законами;
7.12.4. не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;
7.12.5. передавать персональные данные работника Учреждения представителям работника в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций;
7.12.6. разрешать доступ к персональным данным исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций);
7.12.7. уполномоченные лица должны подписать обязательство о неразглашении персональных данных.
7.13. Ответы на правомерные письменные запросы других учреждений и организаций даются с разрешения директора Учреждения в письменной форме: персональные данные сообщаются строго в запрошенном объеме.
7.14. Не допускается передача персональных данных по открытым каналам связи, в том числе по телефону.
7.15. Сведения, передаваемые в письменной форме, должны иметь пометку о конфиденциальности. В сопроводительном письме к таким документам указывается, что в прилагаемых документах содержатся персональные данные субъектов персональных данных.
8. Защита персональных данных
8.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и основной деятельности Учреждения.
8.2. При обработке персональных данных Учреждение принимает необходимые организационные и технические меры, в том числе используя шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при
их обработке в информационных системах персональных данных, требованиями к материальным носителям персональных данных и технологиям хранения таких данных вне своих информационных систем персональных данных, установленными Правительством Российской Федерации.
8.3. Для защиты персональных данных в Учреждении применяются следующие принципы и правила:
8.3.1. ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
8.3.2. избирательное и обоснованное распределение документов и информации между работников;
8.3.3. рациональное размещение рабочих мест работников, исключающее бесконтрольное использование защищаемой информации;
8.3.4. знание работниками требований нормативно-методических документов по защите персональных данных;
8.3.5. распределение персональной ответственности между работниками, участвующими в обработке персональных данных, за выполнение требований по обеспечению безопасности персональных данных;
8.3.6. оборудование помещений и установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности персональных данных при работе с конфиденциальными документами и базами данных;
8.3.7. определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника;
8.3.8. установление порядка уничтожения информации;
8.3.9. своевременное выявление нарушений требований разрешительной системы доступа работниками Учреждения;
8.3.10. воспитательная и разъяснительная работа с работниками Учреждения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
8.3.11. регулярное обучение работников по вопросам, связанным
с обеспечением безопасности персональных данных;
8.3.12. ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся персональные данные;
8.3.13. создание труднопреодолимых препятствий для любых лиц, пытающихся совершить несанкционированный доступ и овладение информацией;
8.3.14. резервирование защищаемых данных (создание резервных копий).
9.1. Персональная ответственность работников Учреждения является одним из главных требований к функционированию системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.
9.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие персональными данными субъектов персональных данных, получающие и использующие их, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
9.3. Руководитель, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
9.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
9.5. Каждый работник Учреждения, получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителей и конфиденциальность полученной информации.
9.6. Должностные лица Учреждения, в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных, обратившемуся в установленном порядке, возможность ознакомления с документами и материалами, если иное не предусмотрено законом.
9.7. Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных либо несвоевременное их предоставление в случаях, предусмотренных законом, также как и предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц Учреждения административного взыскания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.
9.8. Любые лица, включая работников Учреждения, не обладающие правом доступа к персональным данным и незаконными методами получившие информацию, содержащую персональные данные, в соответствии с Гражданским кодексом Российской Федерации обязаны возместить причиненные субъекту персональных данных убытки.
9.9. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконный сбор или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения, влечет наложение наказания в порядке, предусмотренном Уголовным кодексом Российской Федерации.
9.10. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
6.1. Работник Учреждения обязан:
6.1.1. передать Учреждению или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством и иными законами Российской Федерации, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.
6.1.2. своевременно (в срок, не превышающий 5 рабочих дней) сообщать в кадровую службу Учреждения об изменении своих персональных данных.
6.2. Каждый субъект персональных данных имеет право:
6.2.1. на получение сведений об Учреждении, в том числе, о месте его нахождения, о наличии у Учреждения персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц;
6.2.2. на свободный и бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;
6.2.3. на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором, а также указание цели такой обработки;
- способы обработки персональных данных, применяемые оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных.
6.2.5. требовать от Учреждения извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
6.2.6. требовать от Учреждения исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными
или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
6.2.7. при отказе оператора исключить, заблокировать или исправить персональные данные субъекта, заявить в письменной форме оператору (Учреждению) о своем несогласии (с соответствующим обоснованием такого несогласия), при отклонении оператором указанного обращения (несогласия) – обжаловать действия оператора в порядке, предусмотренном законодательством Российской Федерации;
6.3. Доступ субъекта персональных данных к своим персональным данным предоставляется при личном обращении или обращении его законного представителя с письменным запросом.
6.4. Сведения о персональных данных должны быть предоставлены субъекту персональных данных в доступной форме; при этом в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.5. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, не может приниматься исключительно на основании автоматизированной обработки его персональных данных, кроме случаев согласия субъекта, выраженного в письменной форме или в случаях, предусмотренных федеральными законами.
6.6. Учреждение обязано рассмотреть возражение субъекта персональных данных в течение семи рабочих дней со дня его получения и уведомить заявителя о результатах рассмотрения такого возражения.
6.7. В случаях установленной федеральным законом (включая налоговое и трудовое право) обязанности предоставления оператором персональных данных субъекта персональных данных третьим лицам, уполномоченные работники Учреждения обязаны разъяснить субъекту персональных данных юридические последствия отказа в предоставлении своих персональных данных.
6.8. Если персональные данные были предоставлены Учреждению на основании федерального закона или если персональные данные являются общедоступными, уведомление не производится.
6.9. Учреждение обязано безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить
или блокировать соответствующие персональные данные
при предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить соответствующего субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.
6.10. Учреждение обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Центральному Федеральному округу) по его запросу информацию, необходимую для осуществления деятельности указанного органа в установленные нормативно-правовыми актами Российской Федерации сроки.
6.11. При выявлении фактов недостоверности персональных данных или неправомерных действий с ними Учреждение осуществляет блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента получения такой информации на весь период проверки. При подтверждении факта недостоверности персональных данных уполномоченные сотрудники (на основании соответствующих документов) уточняют персональные данные и снимают их блокирование.
6.12. В случае выявления неправомерных действий с персональными данными учреждение в срок, не превышающий трех рабочих дней с момента выявления, устраняет допущенные нарушения. При невозможности устранения допущенных нарушений оператор в срок,
не превышающий трех рабочих дней с момента выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные лица уведомляют субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также указанный орган.
6.13. При достижении цели обработки персональных данных Учреждение незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней со времени достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами и уведомляет об этом субъекта персональных данных.
6.14. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней со времени поступления отзыва, если иное не предусмотрено соглашением сторон и (или) Федеральным законом. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
6.15. До начала обработки персональных данных Учреждение обязано уведомить уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Центральному Федеральному округу) о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:
- относящихся к субъектам персональных данных, которых связывают с Учреждением трудовые отношения;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации (и обрабатываемых соответствующим общественным объединением или религиозной организацией), действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия субъектов персональных данных в письменной форме;
- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Учреждение, или в аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами и иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных.
- адрес Учреждения;
- цели обработки персональных данных;
- категории субъектов персональных данных, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых Учреждением способов обработки персональных данных;
- описание мер, которые Учреждение обязуется осуществлять
- дата начала обработки персональных данных;
- срок и условия прекращения обработки персональных данных.
7. Доступ к персональным данным субъекта персональных данных, их распространение и передача
7.1. Доступ к персональным данным субъекта персональных данных, их распространение и передача возможны только с отдельного письменного согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.2. В согласии субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). Не допускается указание положений об автоматической пролонгации срока действия согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
7.3. Внутренний доступ (доступ внутри Учреждения) к персональным данным субъектов персональных данных могут иметь работники Учреждения, которым эти данные необходимы для выполнения должностных обязанностей. Список работников и распределение доступа к персональным данным устанавливается приказом Учреждения.
7.4. После прекращения юридических отношений с субъектом персональных данных (увольнения работника и т.п.) документы, содержащие его персональные данные, хранятся в Учреждении в течение сроков, установленных архивным и иным законодательством Российской Федерации.
7.5. Внешний доступ к персональным данным субъектов персональных данных имеют массовые потребители персональных данных и контрольно-надзорные органы.
7.6. К числу массовых внешних потребителей персональных данных, обрабатываемых Учреждением, относятся следующие государственные и негосударственные структуры:
- налоговые органы;
- правоохранительные органы;
- органы лицензирования и сертификации;
- суды Российской Федерации;
- органы статистики;
- военные комиссариаты;
- органы социального и пенсионного страхования;
- Департамент культуры города Москвы.
7.8. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц и иных случаев, установленных законодательством.
7.9. Учреждение обязано сообщать персональные данные субъекта персональных данных по надлежащим оформленным запросам суда, прокуратуры, иных правоохранительных органов.
7.10. В другие организации сведения о работающем или уже уволенном сотруднике работнике могут быть предоставлены только на основании письменного запроса на фирменном бланке, с приложением копии заявления работника.
7.11. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
7.12. При передаче персональных данных оператор должен соблюдать следующие требования:
7.12.1. не сообщать персональные данные субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни
и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами;
7.12.2. не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
7.12.3. предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено,
за исключением случаев, когда обмен персональными данными осуществляется в порядке, установленном федеральными законами;
7.12.4. не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;
7.12.5. передавать персональные данные работника Учреждения представителям работника в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций;
7.12.6. разрешать доступ к персональным данным исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций);
7.12.7. уполномоченные лица должны подписать обязательство о неразглашении персональных данных.
7.13. Ответы на правомерные письменные запросы других учреждений и организаций даются с разрешения директора Учреждения в письменной форме: персональные данные сообщаются строго в запрошенном объеме.
7.14. Не допускается передача персональных данных по открытым каналам связи, в том числе по телефону.
7.15. Сведения, передаваемые в письменной форме, должны иметь пометку о конфиденциальности. В сопроводительном письме к таким документам указывается, что в прилагаемых документах содержатся персональные данные субъектов персональных данных.
8. Защита персональных данных
8.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и основной деятельности Учреждения.
8.2. При обработке персональных данных Учреждение принимает необходимые организационные и технические меры, в том числе используя шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при
их обработке в информационных системах персональных данных, требованиями к материальным носителям персональных данных и технологиям хранения таких данных вне своих информационных систем персональных данных, установленными Правительством Российской Федерации.
8.3. Для защиты персональных данных в Учреждении применяются следующие принципы и правила:
8.3.1. ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
8.3.2. избирательное и обоснованное распределение документов и информации между работников;
8.3.3. рациональное размещение рабочих мест работников, исключающее бесконтрольное использование защищаемой информации;
8.3.4. знание работниками требований нормативно-методических документов по защите персональных данных;
8.3.5. распределение персональной ответственности между работниками, участвующими в обработке персональных данных, за выполнение требований по обеспечению безопасности персональных данных;
8.3.6. оборудование помещений и установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности персональных данных при работе с конфиденциальными документами и базами данных;
8.3.7. определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника;
8.3.8. установление порядка уничтожения информации;
8.3.9. своевременное выявление нарушений требований разрешительной системы доступа работниками Учреждения;
8.3.10. воспитательная и разъяснительная работа с работниками Учреждения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
8.3.11. регулярное обучение работников по вопросам, связанным
с обеспечением безопасности персональных данных;
8.3.12. ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся персональные данные;
8.3.13. создание труднопреодолимых препятствий для любых лиц, пытающихся совершить несанкционированный доступ и овладение информацией;
8.3.14. резервирование защищаемых данных (создание резервных копий).
9. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
9.1. Персональная ответственность работников Учреждения является одним из главных требований к функционированию системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.
9.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие персональными данными субъектов персональных данных, получающие и использующие их, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
9.3. Руководитель, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
9.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
9.5. Каждый работник Учреждения, получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителей и конфиденциальность полученной информации.
9.6. Должностные лица Учреждения, в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных, обратившемуся в установленном порядке, возможность ознакомления с документами и материалами, если иное не предусмотрено законом.
9.7. Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных либо несвоевременное их предоставление в случаях, предусмотренных законом, также как и предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц Учреждения административного взыскания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.
9.8. Любые лица, включая работников Учреждения, не обладающие правом доступа к персональным данным и незаконными методами получившие информацию, содержащую персональные данные, в соответствии с Гражданским кодексом Российской Федерации обязаны возместить причиненные субъекту персональных данных убытки.
9.9. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконный сбор или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения, влечет наложение наказания в порядке, предусмотренном Уголовным кодексом Российской Федерации.
9.10. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
___________________________