ПОЛИТИКА муниципального казенного учреждения «Централизованная бухгалтерия учреждений сферы культуры» в отношении обработки и защиты персональных данных
Приложение №1
к приказу МКУ «ЦБУСК»
от 12.10.2018 № 7
ПОЛИТИКА Муниципального казенного учреждения «Централизованная бухгалтерия учреждений сферы культуры»
в отношении обработки и защиты персональных данных
1. Общие положения
1.1. Настоящая Политика Муниципального казенного учреждения «Централизованная бухгалтерия учреждений сферы культуры» в отношении обработки персональных данных (далее - Политика) определяет цели сбора персональных данных в Муниципальном казенном учреждении «Централизованная бухгалтерия учреждений сферы культуры» (далее – Учреждение); правовые основания обработки персональных данных; объем и категории обрабатываемых персональных данных, категории субъектов персональных данных; порядок и условия обработки персональных данных; а также перечень мер, применяемых Учреждением в целях обеспечения безопасности персональных данных при их обработке.
1.2. В настоящей Политике используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных – Муниципальное казенное учреждение «Централизованная бухгалтерия учреждений сферы культуры», которое самостоятельно организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования, включающая в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- конфиденциальность персональных данных - обязательное для соблюдения оператором или иным лицом, получившим доступ к персональным данным, требование не допускать их раскрытия третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.3.Основные права и обязанности оператора персональных данных (далее - оператор).
1.3.1. Оператор при обработке персональных данных имеет право:
- осуществлять обработку персональных данных на законной и справедливой основе, с достижением конкретных, заранее определенных и законных целей;
- обеспечивать точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранить персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством или другими нормативными документами;
- уничтожать либо обезличивать персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством или другими нормативными документами.
1.3.2. Оператор при обработке персональных данных обязан:
- получать у субъекта персональных данных лично или через его законного представителя письменное разрешение на обработку его персональных данных, за исключением случаев, если персональные данные были предоставлены Учреждению на основании федерального законодательства или если они являются общедоступными;
- не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством;
- обеспечить безопасность обработки персональных данных;
- разъяснять субъекту персональных данных юридические последствия отказа предоставления персональных данных, если это является обязательным в соответствии с законодательством Российской Федерации;
- предоставлять по просьбе субъекта персональных данных (его представителя) информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными актами Учреждения;
- вносить соответствующие изменения в персональные данные субъекта, или уничтожить, или блокировать соответствующие персональные данные в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными.
1.3.3. Во всех других случаях оператор обязан соблюдать требования российского законодательства по обработке персональных данных.
1.4. Основные права и обязанности субъекта персональных данных.
1.4.1. Субъект персональных данных имеет право:
- получать полную информацию, касающуюся обработки оператором его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- отозвать согласие на обработку своих персональных данных;
- обжаловать действия или бездействие оператора при обработке своих персональных данных в соответствии с законодательством Российской Федерации;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
1.4.2. Субъект персональных данных обязан:
- передавать оператору комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;
- своевременно сообщать оператору об изменении своих персональных данных.
2. Цели сбора персональных данных
2.1 Обработка персональных данных оператором ограничивается достижением конкретных, определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Оператор осуществляет обработку персональных данных субъектов в следующих целях:
2.2.1. учет и хранение информации по обращениям физических лиц;
2.2.2. обеспечение кадровой работы;
2.2.3. учет и хранение информации по выплатам в соответствии с заключенными трудовыми договорами;
2.2.4. осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Учреждение, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
2.2.5. обеспечение квалифицированного бухгалтерского обслуживания учреждений культуры и дополнительного образования в сфере культуры, заключивших с Учреждением соглашение на бухгалтерское обслуживание;
2.2.6. осуществление прав и законных интересов Учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Учреждения, или третьих лиц либо достижения общественно значимых целей;
2.2.7. учет и хранение сведений о сертификатах ключей проверки электронной подписи.
3. Правовое основание обработки персональных данных.
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми оператором осуществляется обработка персональных данных.
3.2. Персональные данные оператором обрабатываются на следующих правовых основаниях:
3.2.1. Федеральное законодательство:
- Конституция Российской Федерации;
- Кодексы: Семейный, Трудовой, Налоговый;
- Федеральные законы: от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», от 06.04.2011 № 63-ФЗ «Об электронной подписи», от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», от 02.03.2007 № 25-ФЗ «О муниципальной службе»;
- Закон РФ от 15.05.1991 № 1244-1 «О социальной защите граждан, подвергшихся воздействию радиации вследствие катастрофы на Чернобыльской АЭС»;
- Приказ Министерства культуры Российской Федерации от 31.03.2015 № 526 «Об утверждении правил организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в органах государственной власти, органах местного самоуправления и организациях;
3.2.2.Региональное законодательство:
- Закон Курской области от 30.11.2015 № 118-ЗКО «Об архивном деле в Курской области»;
3.2.3. Иные нормативные акты:
- Устав Муниципального казенного учреждения «Централизованная бухгалтерия учреждений сферы культуры», утвержденного постановлением Администрации города Железногорска от 28 декабря 2017 года №2875;
- Соглашение на ведение бухгалтерского учета от 09 «января» 2017г №б/н между Управлением культуры администрации города Железногорска Курской области и Муниципальным казенным учреждением «Централизованная бухгалтерия учреждений сферы культуры»;
- Соглашение на ведение бухгалтерского учета от 09 «января» 2017г №б/н между Муниципальным учреждением культуры «Централизованная библиотечная система» и Муниципальным казенным учреждением «Централизованная бухгалтерия учреждений сферы культуры»;
- Соглашение на ведение бухгалтерского учета от 09 «января» 2017г №б/н между Муниципальным образовательным учреждением дополнительного образования «Художественная школа народных промыслов «Артель» и Муниципальным казенным учреждением «Централизованная бухгалтерия учреждений сферы культуры»;
- Соглашение на ведение бухгалтерского учета от 09 «января» 2017г №б/н между Муниципальным учреждением культуры «Железногорский краеведческий музей» и Муниципальным казенным учреждением «Централизованная бухгалтерия учреждений сферы культуры»;
3.3. Согласие на обработку персональных данных субъекта персональных данных в случаях, прямо не предусмотренных законодательством Российской федерации, но в соответствии с полномочиями Учреждения.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Объем обрабатываемых персональных данных оператором в целях, указанных в пункте 2.2, не превышает 100000 записей.
4.2. При реализации трудовых отношений, переданных полномочий и обязанностей, оказанием бухгалтерских услуг оператором обрабатываются следующие категории субъектов персональных данных:
- работники Учреждения;
- работники организаций, заключивших с Учреждением соглашение или договор на бухгалтерское обслуживание, в том числе номинированные на награждение работники организаций;
- обучающиеся учреждений дополнительного образования сферы культуры, удостоенные стипендий и (или) законные представители обучающихся;
- лица, заключившие муниципальный контракт с Учреждением или находящиеся на этапе преддоговорных отношений подобного характера;
- иные субъекты персональных данных, которые не вошли в вышеперечисленные категории, обработка персональных данных которых не противоречит законодательству Российской Федерации.
4.2.1. Обработка персональных данных оператором осуществляется в целях обеспечения кадровой работы; учета и хранения информации по выплатам в соответствии с заключенными трудовыми договорами, и содержит следующие категории персональных данных:
- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- число, месяц, год рождения;
- информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
- место рождения;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- копия страхового свидетельства государственного пенсионного страхования;
- копия идентификационного номера налогоплательщика;
- копия страхового медицинского полиса обязательного медицинского страхования;
- копия свидетельства государственной регистрации актов гражданского состояния;
- копия паспорта;
- сведения о семейном положении;
- трудовая книжка;
- сведения о воинском учете и реквизиты документов воинского учета;
- копия документа об образовании;
- сведения об ученой степени;
- копия справки МСЭК;
- фотография;
- собственноручно заполненная анкета;
- личная карточка работника (Т-2);
- копия свидетельств о рождении детей (н/л);
- информация о наличии или отсутствии судимости;
- сведения о наградах (поощрениях), почетных званиях;
- сведения о профессиональной переподготовке и (или) повышении квалификации;
- автобиография;
- сведения о доходах;
- номер расчетного счета;
- номер банковской карты;
- содержание и реквизиты трудового договора.
4.2.2. Обработка персональных данных оператором осуществляется в целях оказания бухгалтерских услуг, реализации переданных полномочий и обязанностей, и содержит следующие категории персональных данных:
- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- число, месяц, год рождения;
- информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
- место рождения;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- номер страхового свидетельства государственного пенсионного страхования;
- номер идентификационного номера налогоплательщика;
- паспортные данные;
- копия справки МСЭК;
- сведения о наградах (поощрениях), почетных званиях;
- сведения о доходах;
- номер расчетного счета;
- номер банковской карты.
4.2.3. Обработка персональных данных осуществляется в целях учета и хранения информации по обращениям физических лиц:
- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- адрес места жительства (адрес регистрации, фактического проживания);
- паспортные данные;
- номер контактного телефона или сведения о других способах связи.
5. Порядок и условия обработки персональных данных.
5.1. Обработка персональных данных оператором осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
В случае отказа субъекта персональных данных предоставить свои персональные данные, предоставление которых является обязательным в соответствии с нормативными правовыми актами Российской Федерации, оператор разъясняет данному субъекту в письменной форме юридические последствия отказа предоставить свои персональные данные.
5.2. Оператор при обработке персональных данных выполняет следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.
5.3. Обработка персональных данных осуществляется путем:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов необходимых документов;
- получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников;
- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
- внесения персональных данных в информационные системы;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой оператором деятельности.
5.4. Обработка персональных данных оператором осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо без ее использования (неавтоматизированная обработка), а также смешанным способом.
5.5. Обработке подлежат только персональные данные, которые соответствуют целям их обработки.
5.6. Передача (предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляется только в случаях и в порядке, предусмотренных федеральным законодательством.
Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
Оператором не осуществляется трансграничная передача персональных данных.
При передаче персональных данных третьим лицам в соответствии с заключенными договорами оператором обеспечивается обязательное выполнение требований законодательства Российской Федерации и муниципальных правовых актов города Железногорска.
Передача персональных данных в уполномоченные органы исполнительной власти (Федеральную налоговую службу Российской Федерации, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации, органам дознания, следствия и др.) осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.7. Оператор вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению оператора, обязаны соблюдать принципы и правила обработки персональных данных, условия конфиденциальности и обеспечения безопасности персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.
5.8. Оператором обработка персональных данных прекращается при следующих условиях:
- достижение целей обработки персональных данных;
- истечение срока действия согласия или отзыв согласия субъекта персональных данных;
- выявление неправомерной обработки персональных данных.
5.9. Хранение персональных данных оператором осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки.
5.10. Сроки хранения персональных данных оператором определяются в соответствии с законодательством Российской Федерации и муниципальными правовыми актами.
5.11. Базы данных, в которых хранятся персональные данные оператора, находятся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.12. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
6. Актуализация, исправление, удаление и уничтожение
персональных данных
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки оператор принимает меры по актуализации информации или прекращению обработки персональных данных.
6.2. При достижении цели обработки персональных данных, в случае утраты необходимости в их достижении, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
6.3. Оператор по запросу субъекта персональных данных (его представителя) сообщает информацию об осуществляемой обработке его персональных данных.
6.4. Блокирование персональных данных осуществляется оператором по требованию субъекта персональных данных (его представителя), а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
6.5. Субъект персональных данных (его представитель) имеет право направить запрос/обращение оператору по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным. Рассмотрение запросов/обращений устанавливают «Правила рассмотрения запросов/обращений субъектов персональных данных (их представителей) в Муниципальном казенном учреждении «Централизованная бухгалтерия учреждений сферы культуры», которые направляются оператору по утвержденной форме.
7. Обеспечение безопасности персональных данных при их обработке
7.1. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения;
- применение организационных и технических мер по обеспечению безопасности персональных данных;
- применение средств защиты информации;
- учет машинных носителей персональных данных;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных оператора;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
7.2. Доступ к персональным данным, находящимся в информационных системах персональных данных оператора, должен предусматривать обязательное прохождение процедуры идентификации и проверки подлинности пользователя при входе в систему по паролю.
7.3. Оператором назначаются лица, ответственные за координацию действий по организации обработки персональных данных и за обеспечение их безопасности.
8. Заключительные положения
8.1. Политика пересматривается для поддержания в актуальном состоянии и актуализируется по мере необходимости и в соответствии с изменениями в законодательстве Российской Федерации.
8.2. Лица, виновные в нарушении установленных требований законодательства Российской Федерации в отношении обработки персональных данных и настоящей Политики, несут ответственность, в соответствии с законодательством Российской Федерации.