01

02

 

Приложение № 1

к приказу директора Казенного

учреждения города Омска «Центр

социальной поддержки населения»

от 12.10.2018 года № 68

ПОЛИТИКА
обработки персональных данных Казенного учреждения города Омска «Центр социальной поддержки населения»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящая Политика в отношении обработки персональных данных (далее - Политика) Казенного учреждения города Омска «Центр социальной поддержки населения» (далее – Оператор) разработана в соответствииКонституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским Кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»,постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2.Политика определяет порядок и условия обработки персональных данных Операторас использованием средств автоматизации и без использования таких средств.
1.3. Политика обработки персональных данных разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
1.4. Обработка персональных данных осуществляется в целях предоставления мер социальной поддержки, оказания адресной социальной помощи в виде предоставления подержанных вещей и других материальных ценностей,обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных (оператор) – Казенное учреждение города Омска «Центр социальной поддержки населения».
2.3. Обработка персональных данных- любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись,систематизацию,накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение.
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.Обработка персональных данных осуществляется на законной основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
3.5. При обработке персональных данных обеспечивается точность персональных данных и их достаточность, в случаях необходимости и актуальность персональных данных по отношению к заявленным целям их обработки
3.6.Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. ЦЕЛИ СБОРА И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.Обработка персональных данных осуществляется в целях предоставления мер социальной поддержки, оказания адресной социальной помощи в виде предоставления подержанных вещей и других материальных ценностей, обеспечения соблюдения законов и иных нормативных правовых актов,содействия работникам в трудоустройстве, получении образования, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.2.Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных". Обработка персональных данных допускается в следующих случаях:
4.2.1.Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
4.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных для осуществления и выполнения возложенных на Оператора функций, полномочий и обязанностей.
4.2.3.Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.2.4.В случае,если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

5. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.ПРАВО СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ЕГО ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1.Субъект персональных данных имеет право на получение сведений, указанных в п. 6.7 настоящей Политики, за исключением случаев, при которых доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Сведения, указанные в п. 6.7 настоящей Политики, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.3.Сведения, указанные в п. 6.7 настоящей политики, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.4. В случае если сведения, указанные в п. 6.7 настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 6.7 настоящего положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.5. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему запрос в целях получения сведений, указанных в п. 6.7 настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 6.4 настоящей Политики, в случае, если такие сведения и (или) обрабатываемыеперсональныеданные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 6.3 настоящей Политики, должен содержать основание направления повторного запроса.
6.6.Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, несоответствующего условиям, предусмотренным п. 6.3 и п. 6.4. настоящей Политики. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
6.7.Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
6.7.1.Подтверждение факта обработки персональных данныхОператором.
6.7.2.Правовые основания и цели обработки персональных данных Оператором.
6.7.3.Применяемые Оператором способы обработки персональных данных.
6.7.4. Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона.
6.7.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.
6.7.6.Сроки обработки персональных данныхОператором, в том числе сроки их хранения.
6.7.7. Порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных».
6.7.8. Информацию об осуществленной или предполагаемой трансграничной передаче данных.
6.7.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
6.7.10. Иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

7. ПРАВО НА ОБЖАЛОВАНИЕ ДЕЙСТВИЙ ИЛИ БЕЗДЕЙСТВИЙ ОПЕРАТОРА

7.1. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия Оператора вуполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. ОБЯЗАННОСТИ ОПЕРАТОРА ПРИ СБОРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 6.7 настоящей Политики.
8.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
8.3. Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных настоящей Политикой, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
8.3.1. Наименование либо фамилия, имя, отчество и адрес Оператора или его представителя.
8.3.2. Цель обработки персональных данных и ее правовое основание.
8.3.3. Предполагаемые пользователи персональных данных.
8.3.4. Установленные настоящим Федеральным законом права субъекта персональных данных.
8.3.5. Источник получения персональных данных.
8.4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 8.3 настоящей Политики, в случаях, если:
8.4.1. Субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором.
8.4.2. Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.4.3. Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника.
8.4.4. Предоставление субъекту персональных данных сведений, предусмотренных частью 8.3 настоящей Политики, нарушает права и законные интересы третьих лиц.

9. МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОПЕРАТОРОМ ОБЯЗАННОСТЕЙ,ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

9.1. Назначен ответственный за организацию обработки персональных данных.
9.2. Изданы документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
9.3. Утверждены правила проведения внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, настоящей Политике, локальным актам.
9.4. Проведена оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и применяемых Оператором мер.
9.5. Проведено ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

10.1. Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
10.2. Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных.
10.3. Применяются средства защиты информации.
10.4. Ведется учет машинных носителей персональных данных.
10.5.Выполняются меры по обнаружению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер.
10.6. Определен комплекс мер по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.7. Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, обеспечена регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных.
10.8. Осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенностив информационных системах персональных данных.