Приложение
к приказу от 16.04.2018 года № 21 – д
Положение
об обработке и защите персональных данных в бюджетном учреждении Ханты-Мансийского автономного округа – Югры
«Региональный аналитический центр»
I. Общие положения
1.1. Положение об обработке и защите персональных данных в бюджетном учреждении Ханты-Мансийского автономного округа – Югры «Региональный аналитический центр» (далее – Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также стратегию и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области защиты персональных данных, формирует основные принципы и механизмы защиты персональных данных в бюджетном учреждении Ханты-Мансийского автономного округа – Югры «Региональный аналитический центр» (далее – Учреждение).
1.2. Настоящее Положение является основным руководящим документом Учреждения, определяющим требования и политику Учреждения как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
1.4. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
1.5. Настоящее Положение разработано в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.6. Обработка персональных данных в Учреждении осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
1.7. Термины и определения, используемые в Положении:
1.7.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.7.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.7.3. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.7.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.7.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.7.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.7.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.7.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.7.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.7.10. Оператор – Учреждение, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
II. Цель, область применения Положения
2.1. Цель Положения – обеспечение безопасности информации, содержащей персональные данные, обрабатываемые в Учреждении, а также реализация положений законодательных актов Российской Федерации и нормативных требований по защите персональных данных и предотвращение ущерба в результате разглашения, утраты, утечки, искажения и уничтожения персональных данных, их незаконного использования и нарушения работы информационно-телекоммуникационной системы Учреждения.
2.2. Основными целями обеспечения безопасности персональных данных являются:
2.2.1. предотвращение нарушений прав субъекта персональных данных (физического лица) на сохранение конфиденциальности информации, содержащейся в информационных системах персональных данных Учреждения;
2.2.2. предотвращение искажения или несанкционированной модификации, уничтожения, блокирования информации, содержащей персональные данные, обрабатываемые в информационных системах персональных данных Учреждения.
2.3. Требования настоящего Положения обязательны для всех структурных подразделений Учреждения и распространяются на обработку персональных данных:
2.3.1. с использованием автоматизированных систем Учреждения;
2.3.2. без использования средств автоматизации.
2.4. Настоящее Положение подлежит обязательному размещению в открытом доступе на официальном интернет-сайте Учреждения и обеспечено доступом для всех работников Учреждения и иных субъектов персональных данных.
III. Условия и порядок обработки персональных данных субъектов персональных данных без использования автоматизированных систем
3.1. Персональные данные работников Учреждения, лиц, поступающих на работу в Учреждение обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия работникам Учреждения в выполнении должностных обязанностей, обучения и должностного роста, учета результатов исполнения работниками Учреждения должностных обязанностей, обеспечения личной безопасности работников Учреждения и членов их семьи, обеспечения работникам Учреждения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества.
3.2. Обработка персональных данных иных субъектов персональных данных, необходимость в обработке которых может возникнуть в связи с реализацией полномочий Учреждения в рамках уставной деятельности, производится с учетом необходимости обеспечения защиты прав и свобод граждан, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.
3.3. В целях, указанных в пункте 3.1 настоящего Положения, подлежат обработке следующие категории персональных данных:
3.3.1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
3.3.2. число, месяц, год рождения;
3.3.3. место рождения;
3.3.4. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
3.3.5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
3.3.6. адрес места жительства (адрес регистрации, фактического проживания);
3.3.7. номер контактного телефона или сведения о других способах связи;
3.3.8. реквизиты страхового свидетельства государственного пенсионного страхования;
3.3.9. идентификационный номер налогоплательщика;
3.3.10. реквизиты свидетельства государственной регистрации актов гражданского состояния;
3.3.11. семейное положение, состав семьи;
3.3.12. сведения о трудовой деятельности;
3.3.13. сведения о воинском учете и реквизиты документов воинского учета;
3.3.14. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
3.3.15. сведения об ученой степени;
3.3.16. информация о владении иностранными языками, степень владения;
3.3.17. фотография;
3.3.18. информация о наличии или отсутствии судимости;
3.3.19. государственные награды, иные награды и знаки отличия;
3.3.20. сведения о профессиональной переподготовке и (или) повышении квалификации;
3.3.21. информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
3.3.22. сведения о доходах, об имуществе и обязательствах имущественного характера;
3.3.23. номер расчетного счета;
3.3.24. номер банковской карты.
3.4. В целях, указанных в пункте 3.2 настоящего Положения, подлежат обработке следующие категории персональных данных:
3.4.1. фамилия, имя, отчество;
3.4.2. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
3.4.3. адрес места жительства (адрес регистрации, фактического проживания);
3.4.4. номер контактного телефона или сведения о других способах связи;
3.4.5. идентификационный номер налогоплательщика;
3.4.6. номер расчетного счета.
3.5. Обработка персональных данных работников Учреждения, лиц, поступающих на работу в Учреждение, иных субъектов персональных данных, осуществляется без согласия указанных лиц в рамках целей, определенных пунктами 3.1, 3.2 настоящего Положения, в соответствии с п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных», Федеральным законом «О противодействии коррупции», Трудовым кодексом Российской Федерации, а также на основании договора.
3.6. Обработка специальных категорий персональных данных в Учреждении не осуществляется.
3.7. Обработка персональных данных работников Учреждения, лиц, поступающих на работу в Учреждение, иных субъектов персональных данных, осуществляется при условии получения согласия указанных лиц в следующих случаях:
3.7.1. при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;
3.7.2. при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы на основании исключительно автоматизированной обработки их персональных данных.
3.8. В случаях, предусмотренных пунктом 3.7 настоящего Положения, согласие субъекта персональных данных оформляется для каждого отдельного случая в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
3.9. Обработка персональных данных работников Учреждения, лиц, поступающих на работу в Учреждение, осуществляется главным бухгалтером, работниками юридического отдела административного управления (далее – кадровый работник Учреждения), работниками финансово-экономического отдела административного управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.10. Обработка персональных данных иных субъектов персональных данных, необходимость в обработке которых возникает в связи с реализацией полномочий Учреждения в рамках уставной деятельности, производится подразделениями Учреждения на основании приказа и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.
3.11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем:
3.11.1. получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые кадровому работнику Учреждения);
3.11.2. копирования оригиналов документов;
3.11.3. внесения сведений в учётные формы (на бумажных и электронных носителях);
3.11.4. формирования персональных данных в ходе кадровой работы;
3.11.5. внесения персональных данных в информационные системы Учреждения, используемые кадровым работником Учреждения.
3.12. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.
3.13. Запрещается обрабатывать персональные данные, не предусмотренные п. 3.3 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.14. При сборе персональных данных работник Учреждения, осуществляющий сбор (получение) персональных данных обязан разъяснить субъекту персональных данных юридические последствия отказа в предоставлении персональных данных.
3.15. При передаче персональных данных работника Учреждение должно соблюдать следующие требования:
3.15.1. не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных действующим законодательством;
3.15.2. предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном действующим законодательством;
3.15.3. разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
3.15.4. передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
IV. Порядок автоматизированной обработки персональных данных в информационных системах
4.1. Обработка персональных данных осуществляется с использованием средств автоматизации в информационных системах персональных данных Учреждения.
4.2. Информационные системы содержат персональные данные работников Учреждения, физических лиц, являющихся стороной гражданско-правовых договоров, заключаемых Учреждением, и включают:
4.2.1. фамилию, имя, отчество субъекта персональных данных;
4.2.2. дату рождения субъекта персональных данных;
4.2.3. место рождения субъекта персональных данных;
4.2.4. серию и номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
4.2.5. адрес места жительства субъекта персональных данных;
4.2.6. почтовый адрес субъекта персональных данных;
4.2.7. телефон субъекта персональных данных;
4.2.8. ИНН субъекта персональных данных;
4.2.9. табельный номер субъекта персональных данных;
4.2.10. должность субъекта персональных данных;
4.2.11. номер приказа и дату приема на работу (увольнения) субъекта персональных данных.
4.3. Автоматизированное рабочее место работника Учреждения предполагает обработку персональных данных работников Учреждения, предусмотренных п. 3.3 настоящего Положения.
4.4. Классификация информационных систем персональных данных, указанных в п. 4.1 настоящего Положения, осуществляется в порядке, установленном законодательством Российской Федерации.
4.5. Работникам структурных подразделений Учреждения, имеющим право осуществлять обработку персональных данных в информационных системах Учреждения, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе Учреждения. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями работников Учреждения.
Информация вносится как в автоматическом режиме, при получении персональных данных, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
4.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Учреждения, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
4.6.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения;
4.6.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
4.6.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
4.6.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4.6.5. учет машинных носителей персональных данных;
4.6.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
4.6.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
4.6.8. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Учреждения, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Учреждения;
4.6.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
4.7. Ответственные лица за обеспечение информационной безопасности в Учреждении организуют и контролируют ведение учета материальных носителей персональных данных.
4.8. Ответственные лица за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения, должны обеспечить:
4.8.1. своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Учреждении и руководителя Учреждения;
4.8.2. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
4.8.3. возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
4.8.4. постоянный контроль за обеспечением уровня защищенности персональных данных;
4.8.5. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
4.8.6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
4.8.7. при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
4.8.8. разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты (информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.9. Ответственное лицо за обеспечение функционирования информационных систем персональных данных в Учреждении, принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
4.10. Обмен персональными данными при их обработке в информационных системах персональных данных Учреждения осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.11. Доступ работников Учреждения к персональным данным, находящимся в информационных системах персональных данных Учреждения, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
4.12. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Учреждения уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
V. Сроки обработки и хранения персональных данных
5.1. Сроки обработки и хранения персональных данных работников Учреждения, лиц, поступающих на работу в Учреждение, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных работников Учреждения:
5.1.1. Персональные данные, содержащиеся в приказах по личному составу работников Учреждения (о приеме, о переводе, об увольнении, об установлении надбавок и т.п.), подлежат хранению в Учреждении в течение 75 лет.
5.1.2. Персональные данные, содержащиеся в личных делах работников Учреждения, а также личных карточках работников Учреждения, хранятся в Учреждении в течение 75 лет.
5.1.3. Персональные данные, содержащиеся в приказах о предоставлении ежегодных оплачиваемых отпусков, отпусках в связи с обучением, о краткосрочных внутрироссийских командировках, о дисциплинарных взысканиях работников Учреждения, подлежат хранению в Учреждении в течение пяти лет.
5.1.4. Персональные данные, содержащиеся в документах лиц, поступающих на работу в Учреждение, подлежат уничтожению после замещения вакантной должности.
5.2. Персональные данные иных субъектов персональных данных, обратившихся в Учреждение лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
5.3. Персональные данные работников Учреждения, лиц, поступающих на работу в Учреждение, на бумажном носителе хранятся кадровым работником в запираемых шкафах (трудовые книжки в сейфах), либо иным образом, позволяющим исключить несанкционированный доступ к ним.
5.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
5.5. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
5.6. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Учреждения.
5.7. Срок хранения персональных данных, внесенных в информационные системы персональных данных Учреждения, указанные в п. 4.1. настоящего Положения, соответствует сроку хранения бумажных носителей. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено настоящим Положением.
VI. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
6.1. Уничтожение материальных носителей, содержащих персональные данные, осуществляется в соответствии с действующим законодательством Российской Федерации.
6.2. Документы, содержащие персональные данные, с истекшими сроками хранения подлежат уничтожению. По окончании процедуры уничтожения составляется соответствующий акт об уничтожении документов, содержащих персональные данные.
6.3. Уничтожение электронных носителей персональных данных по окончании срока обработки персональных данных производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации. По окончании процедуры уничтожения, составляется соответствующий акт об уничтожении персональных данных на электронных носителях.