Положение по обработке персональных данных в ОБУССОКО «Ольшанский психоневрологический интернат»

Утверждаю:

директор ОБУССОКО «Ольшанский интернат»

О.Н.Ситников

«____»_____________2017г

ПОЛОЖЕНИЕ

по обработке персональных данных в

ОБУССОКО «Ольшанский психоневрологический интернат»

1.Общее положение

Настоящее Положение об обработке персональных данных в ОБУССОКО «Ольшанский психоневрологический интернат» (далее -Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 года №152-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных» и Уставом ОБУССОКО «Ольшанский психоневрологический интернат»

Цель разработки Положения — определение порядка обработки персональных данных работников и проживающих ОБУССОКО «Ольшанский интернат, на основании полномочий оператора согласно нормам и принципам законодательства Российской Федерации, и специальным требованиям к обработке персональных данных.
Настоящее Положение вступает в силу с момента его утверждения директором ОБУССОКО «Ольшанский интернат».
Положение действует только в пределах учреждения, распространяется в равной мере на всех работников и проживающих, участвующих в обработке, и является обязательным для применения и соблюдения.

Контроль за соблюдением настоящего Положения осуществляет Ответственный за организацию обработки персональных данных в ОБУССОКО «Ольшанский интернат».
Основные понятия, используемые в настоящем Положении:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных;
обработка персональных данных - любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
информация - сведения (сообщения, данные) независимо от формы их представления.

2.Цель обработки персональных данных

Обработка персональных данных в ОБУССОКО «Ольшанский интернат» осуществляется для достижения конкретных и законных целей.
Цели обработки, состав персональных данных и сроки их обработки определены в документе «Перечень персональных данных, обрабатываемых в ОБУССОКО «Ольшанский интернат».
Целями обработки персональных данных являются:

-организация кадрового учета, ведение кадрового делопроизводства,содействие работникам в трудоустройстве, обучении и продвижении по службе, исполнении налогового законодательства РФ в связи с исчислением и уплатой НДФЛ, а так же пенсионного законодательства РФ при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации;

-заключение, исполнение и прекращение гражданско-правовых договоров;

-ведение электронной базы данных по обеспечиваемым интерната;

-запрос в ПФ РФ на получение сведений о размере выплат проживающих интерната за период посредством СМЭВ.

Обработка персональных данных в учреждении допускается в случаях:

-если обработка персональных данных осуществляется с согласия субъекта персональных данных;

-если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или получателем по которому является субъект персональных данных, а так же для заключения договоров по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

-если обработка персональных данных необходима для защиты жизни, здоровья или иных жизнено важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможна;

-если обработка персональных данных необходима для осуществления прав и законных интересов учреждения или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-если обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при это мне нарушаются права и законные интересы субъекта персональных данных;

-если обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;

-если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.

Не допускается обработка персональных данных, несовместимая с целями, для которых собирались персональные данные.

3.Основные принципы обработки персональных данных

Обработка персональных данных возможно только в соответствии с целями, определившими их получения.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Право доступа для обработки персональных данных имеют сотрудники учреждения в соответствии с возложенными на них функциональными обязанностями.
При обработке персональных данных обеспечивается точность персональных данных, их достаточность,а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или получателем по которому является субъект персональных данных.
Обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Организацией, сроком исковой данности, сроками хранения документов на бумажных носителях и документов в электронных базах данных,иными требованиями законодательства РФ, а так же сроком действия согласия субъекта на обработку персональных данных.
Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения ответственного за обработку персональных данных.

4.Меры по обеспечению безопасности персональных данных

При обработке персональных данных учреждение принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а так же от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

-применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

-обнаруживание фактов несанкционированного доступа к персональным данным и принятия необходимых мер;

-установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а так же обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

-контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных.

5.Права субъекта персональных данных

Субъект персональных данных имеет право:

На получении информации, касающихся обработки его персональных данных, в том числе содержащей;

-подтверждение факта обработки персональных данных оператором;

-правовые основания и цели обработки персональных данных;

-цели и применяемые учреждением способы обработки персональных данных;

-наименование и место нахождения учреждения, сведения о лицах (за исключением работников учреждения), которые имеют доступ к персональным данным или которые могут быть раскрыты персональные данные на основании договора с учреждением или на основании федерального закона;

-обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

-сроки обработки персональных данных, в том числе сроки их хранения;

-порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ "О персональных данных";

-информация об осуществленной или о предполагаемой трансграничной передаче данных;

-наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению учреждения0 если обработка поручена или будет поручена такому лицу;

-иные сведения, предусмотренные ФЗ "О персональных данных" или другими федеральными законами.

*Требовать от учреждения уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются не полными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а так же принимать предусмотренные законом меры по защите своих прав.
На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.
Обжаловать в суд любые неправомерные действия или бездействие организации при обработке и защиты его персональных данных.

6.Обязанности организации

Учреждение обязуется:

Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения,блокирования, копирования, предоставления, распространения персональных данных, а так же от иных неправомерных действий в отношении персональных данных.
Осуществлять мероприятия по организационной и технической защите персональных данных в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.
В целях обеспечения защиты персональных данных проводить оценку вреда, который может быть причинен субъекту персональных данных в случае нарушения безопасности их персональных данных, а так же определить актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
При выявлении угроз применять необходимые достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:

-определение угроз безопасности информации, содержащей персональные данные при ее обработке;

-применение организационных и технических мер по обеспечению безопасности информации, содержащей персональные данные при ее обработке;

-оценку эффективности принимаемых мер до ввода в эксплуатацию информационной системы персональных данных;

-учет машинных носителей информации, содержащей персональные данные;

-обнаружение фактов несанкционированного доступа к информации, содержащей персональные данные и принятия мер;

-восстановление персональных данных, модифицированных или уничтоженных в следствии несанкционированного доступа к ним;

-установления правил доступа к информации, содержащих персональные данные, обеспечение регистрации и учета всех действий, совершаемых с информацией, содержащей персональные данные, в информационной системе персональных данных;

-контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7.Обязанности и ответственность сотрудников организации

Сотрудники учреждения, допущенные к обработке персональных данных, обязаны:

-знать и неукоснительно выполнять требования настоящего Положения;

-обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

-не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а так же ставшие им известные по роду своей деятельности;

-пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;

-выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом руководителя;

-хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами учреждения.

Сотрудникам учреждения, допущенных к обработке персональных данных, запрещается несанкционированное и не регламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.
Каждый новый работник учреждения, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных, с настоящим Положением и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.
Работники учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника и проживающего, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.Заключение

Действующая редакция Положения на бумажном носителе хранится в сейфе специалиста по кадрам.
Электронная версия действующей редакции Положения общедоступна на сайте учреждения в сети Интернет ol46.ru.
В Положение может актуализироваться по мере внесения изменений в нормативные правовые акты в сфере персональных данных или в локальные акты, регламентирующие организацию обработки и обеспечения безопасности персональных данных.

Вложения:
ПОЛОЖЕНИЕ по обработке персональных данных	70 Кб