Правила обработки персональных данных

1. Общие положения
1.1. Настоящие Правила определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Государственном бюджетном учреждении города Москвы «Московское долголетие» (учреждение).
1.2. Настоящие Правила определяют политику учреждения как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Настоящие Правила разработаны в соответствии с:
- Трудовым кодексом Российской Федерации (Трудовой кодекс);
- Федеральным законом от 27 июля 2006 г. No 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 г. No 152-ФЗ «О персональных данных» (Федеральный закон «О персональных данных»);
- Федеральным законом от 25 декабря 2008 г. No 273-ФЗ «О противодействии коррупции» (Федеральный закон «О противодействии коррупции»);
- Федеральным законом от 27 июля 2010 г. No 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (Федеральный закон «Об организации предоставления государственных и муниципальных услуг»);
- Федеральным законом от 2 мая 2006 г. No 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»);
- постановлением Правительства Российской Федерации от 6 июля 2008 г. No 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

- постановлением Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановлением Правительства Российской Федерации от 1 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Постановление No 1119);
- приказом Федеральной службы по техническому и экспертному контролю от 11 февраля 2013 г. No 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
1.4. Обработка персональных данных в учреждении осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящими Правилами.
2. Категории субъектов персональных данных
2.1. К субъектам персональных данных, персональные данные которых обрабатываются в учреждении в соответствии с настоящими Правилами, относятся:
1) работники учреждения;
2) ближайшие родственники работников учреждения;
3) уволенные работники;
4) кандидаты, принимающие участие в конкурсе на замещение вакантных должностей работников учреждения;
5) представители организаций – участников закупок, проводимых учреждением в соответствии с требованиями Федерального закона от 05.04.2013 No 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» (участники закупок)
6) представители контрагентов;
7) физические лица, обратившиеся в учреждение с жалобой предложением, заявлением или направившие запрос о предоставлении информации о деятельности учреждения;
8) физические лица – получатели социальных услуг, предоставившие свои персональные данные в рамках исполнения учреждением своих полномочий.
3. Условия и порядок обработки персональных данных субъектов персональных данных в связи с реализацией трудовых отношений
3.1. Персональные данные субъектов персональных данных (персональные данные), указанных в подпунктах 1 и 2 пункта 5 настоящих Правил, обрабатываются в целях обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении трудовой деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должно стных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.
3.2. В целях, указанных в пункте 3.1. настоящих Правил, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
3.3. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3.1. настоящих Правил, не требуется при обработке персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных».
3.4. Согласие на обработку специальных категорий персональных данных, а также биометрических персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3.1. настоящих Правил, не требуется при обработке персональных данных в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных» и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.
3.5. Необходимо получить согласие субъекта персональных данных на обработку его персональных данных в следующих случаях:
- при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации и города Москвы о противодействии коррупции;
- при трансграничной передаче персональных данных;
- при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
3.6. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3.1. настоящих Правил, осуществляется начальником отдела кадров и специалистами по персоналу (далее – работники, уполномоченные на обработку персональных данных).
3.7. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3.1. настоящих Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.8. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил, осуществляется путем:
- получения оригиналов необходимых документов;
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования персональных данных в ходе кадровой работы;
- внесения персональных данных в автоматизированные информационные системы, оператором которых является учреждение (автоматизированные информационные системы), используемые в целях кадровой работы.
3.9. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил.
3.10. В случае возникновения необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3.1. настоящих Правил, у третьей стороны, следует известить об этом субъектов персональных данных заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
3.11. Запрещается получать, обрабатывать и приобщать к личным делам работников учреждения персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, членства в общественных объединениях.
3.12. При сборе персональных данных работник, уполномоченный на обработку персональных данных, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3.1. настоящих Правил, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
3.13. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил, осуществляются лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации и города Москвы.

4. Условия и порядок обработки персональных данных, необходимых в связи с предоставлением государственных услуг

4.1. В учреждении обработка персональных данных граждан и организаций, обратившихся в учреждение, осуществляется в том числе в целях предоставления государственных услуг.
4.2. Персональные данные граждан, обратившихся в учреждение лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения. В соответствии с законодательством Российской Федерации в учреждении подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан, лиц без гражданства, а также обращения организаций.
4.3. При рассмотрении обращений граждан Российской Федерации, иностранных граждан, лиц без гражданства подлежат обработке их следующие персональные данные:
1) фамилия, имя, отчество (последнее при наличии); 2) почтовый адрес;
3) адрес электронной почты;
4) указанный в обращении контактный телефон;
5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.
4.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных», Федеральным законом «Об организации предоставления государственных и муниципальных услуг», Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации» и иными нормативными правовыми актами, определяющими предоставление государственных услуг.
4.5. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг, осуществляется структурными подразделениями учреждения, ответственными за предоставление соответствующих государственных услуг, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, необходимых в связи с предоставлением государственных услуг, осуществляется непосредственно от субъектов персональных данных путем:
1) получения подлинников документов, необходимых для предоставления государственных услуг, в том числе заявления;
2) заверения необходимых копий документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) внесения персональных данных в прикладные программные подсистемы информационной системы Департамента труда и социальной защиты населения города Москвы.
4.7. При обработке персональных данных, необходимых в связи с предоставлением государственных услуг, запрещается запрашивать у субъектов персональных данных и третьих лиц персональные данные в случаях, не предусмотренных законодательством Российской Федерации и города Москвы.
4.8. При сборе персональных данных работник структурного подразделения учреждения, предоставляющего государственные услуги, осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
4.9. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных (заявителей), необходимых в связи с предоставлением государственных услуг, осуществляется в случаях и порядке, предусмотренных федеральными законами и законами города Москвы.

5. Условия и порядок обработки персональных данных субъектов персональных данных в связи с рассмотрением обращений граждан

5.1. В учреждении обработка персональных данных граждан осуществляется с целью обеспечения своевременного и в полном объеме рассмотрения их устных и письменных обращений в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
5.2. Персональные данные граждан, обратившихся в учреждение лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения . В соответствии с законодательством Российской Федерации в учреждении подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.
5.3. В соответствии со статьями 7 и 13 Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации» в связи с рассмотрением поступивших в учреждение обращений граждан, обработке подлежат следующие персональные данные:
1) фамилия, имя, отчество (при наличии);
2) почтовый адрес;
3) адрес электронной почты;
4) указанный в обращении контактный телефон;
5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
5.4. Обработка персональных данных, необходимых в связи с рассмотрением обращений граждан, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных» и Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
5.5. Передача (распространение, предоставление) и использование персональных данных, указанных в пункте 5.3. настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

6. Порядок обработки персональных данных
в автоматизированных информационных системах

6.1. Обработка персональных данных в учреждении может осуществляться с использованием автоматизированных информационных систем.
6.2. Перечень автоматизированных информационных систем утверждается приказом Департамента труда и социальной защиты населения города Москвы.
6.3. Доступ к автоматизированным информационным системам работников учреждения, осуществляющих обработку персональных данных в автоматизированных информационных системах, реализуется посредством учетной записи, состоящей из имени пользователя и пароля.
6.4. Доступ к автоматизированным информационным системам предоставляется в соответствии с функциями, предусмотренными должностными инструкциями работников учреждения.
6.5. Информация может размещаться в автоматизированных информационных системах как в автоматическом, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
6.6. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах в сфере социальной защиты, осуществляется Уполномоченной Организацией на основании приказа Департамента труда и социальной защиты населения города Москвы и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных согласно статье 19 Федерального закона «О персональных данных».

Обеспечение безопасности персональных данных, обрабатываемых в регистре получателей услуг в сфере занятости населения обеспечивается разработчиком автоматизированной информационной системы, используемой для ведения регистров, и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных согласно статье 19 Федерального закона «О персональных данных».
7. Организация хранения персональных данных
7.1. Персональные данные хранятся на бумажном носителе в структурных подразделениях Учреждения, в функции которых входит обработка персональных данных в соответствии с положениями об этих структурных подразделениях.
7.2. Персональные данные хранятся в электронном виде в автоматизированных электронных системах.
7.3. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки.
7.4. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.
7.5. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
7.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами.

8. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

8.1. Документы, содержащие персональные данные, сроки хранения которых истекли, а также документы, содержащие персональные данные, в случае отзыва согласия на их обработку субъектом персональных данных, подлежат уничтожению.
8.2. Документы, содержащие персональные данные, на бумажном носителе передаются для уничтожения в порядке, установленном законодательством Российской Федерации об архивном деле.
8.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

9. Порядок доступа в помещения, в которых ведется обработка персональных данных
9.1. Доступ в помещения, в которых ведется обработка персональных данных, в том числе хранятся персональные данные, содержащиеся на материальных носителях персональных данных, имеют работники, уполномоченные на обработку персональных данных.
10. Ответственный за организацию обработки персональных данных
10.1. Ответственный за организацию обработки персональных данных в учреждении (ответственный за обработку персональных данных), назначается директором учреждения.
10.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.
10.3. Ответственный за обработку персональных данных обязан:
1) организовать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в учреждении, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) осуществлять внутренний контроль за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения работников, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в учреждении;
5) в случае нарушения в учреждении требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
10.4. Ответственный за обработку персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных в учреждении и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов персональных данных, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых в учреждении способов обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными Постановлением No 1 119;
2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в учреждении, иных работников учреждения с возложением на них соответствующих обязанностей и закреплением ответственности.
10.5. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в учреждении в соответствии с законодательством Российской Федерации в области персональных данных.