Положение о защите персональных данных клиентов Государственного бюджетного учреждения «Центр социального обслуживания граждан пожилого возраста и инвалидов Шарангского муниципального округа"
Раздел 1. Общие положения
1.1. Настоящее положение принято в целях сохранения личной тайны и защиты персональных данных клиентов Государственного бюджетного учреждения «Центр социального обслуживания граждан пожилого возраста и инвалидов Шарангского района» (далее - ГБУ «ЦСОГПВИИ Шарангского района»).
1.2. Положение определяет права и обязанности сотрудников ГБУ «ЦСОГПВИИ Шарангского района» и клиентов, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных клиентов.
1.3. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.4. В настоящем Положении используются следующие понятия и термины:
- заведующий отделения, специалист - сотрудник, предоставляющий услугу (консультацию) клиенту;
- клиент – гражданин, обратившийся в ГБУ «ЦСОГПВИИ Шарангского района»;
- персональные данные - любая информация, относящаяся к определенному или определяемому, на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника;
- служебные сведения (служебная тайна) - информация (сведения), доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
- конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Раздел 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
2.1. Персональные данные клиента составляют:
а) сведения о фактах, событиях и обстоятельствах частной жизни клиента, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
б) служебные сведения, а также иные сведения, связанные с деятельностью клиента.
2.2. Документами, содержащие персональные данные являются:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховое свидетельство государственного пенсионного страхования;
г) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
д) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
е) документы, содержащие сведения о доходах;
ж) документы, содержащие сведения об инвалидности;
з) другие документы, содержащие сведения, предназначенные для использования в служебных целях.
Раздел 3. Создание, обработка и хранение данных клиента
3.1. Создание персональных данных клиента.
Документы, содержащие персональные данные клиента, создаются путём:
а) копирования оригиналов (документ об образовании, свидетельство ИНН, пенсионное свидетельство);
б) внесения сведений в учётные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов.
3.2. Обработка персональных данных клиента - получение, хранение, комбинирование, передача или любое другое использование персональных данных клиента.
3.2.1. При обработке персональных данных клиента, в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных, должны строго учитываться положения Конституции Российской Федерации, а также иных федеральных законов.
3.2.2. Обработка персональных данных клиента осуществляется исключительно в целях:
а) обеспечения соблюдения законов и иных нормативных правовых актов;
б) обеспечения качества выполняемой работы.
3.2.3. Все персональные данные клиента следует получать у него самого, за исключением случаев, если их получение возможно только у третьей сторон.
3.2.4. Получение персональных данных клиента у третьих лиц, возможно только при уведомлении клиента об этом заранее и с его письменного согласия.
В уведомлении клиента о получении его персональных данных у третьих лиц должна содержаться следующая информация:
а) о целях получения персональных данных;
б) о предполагаемых источниках и способах получения персональных данных;
в) о характере подлежащих получению персональных данных;
г) о последствиях отказа клиента дать письменное согласие на их получение.
3.2.5. Заведующий отделения, специалист не имеет права получать и обрабатывать персональные данные клиента о его политических, религиозных и иных убеждениях и частной жизни, а равно как персональные данные клиента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
В соответствии со статьей 24 Конституции Российской Федерации заведующий отделением, специалист вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.
3.2.6. При принятии решений, затрагивающих интересы клиента, заведующий отделением, специалист не имеет права основываться на персональных данных клиента, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3. Сведения, содержащие персональные данные клиента, включаются в его личное дело, а также содержатся на электронных носителях информации, доступ к которым разрешён лицам, непосредственно использующим персональные данные клиента в служебных целях. Перечень должностных лиц определён в пункте 4.1 настоящего Положения.
3.4. Хранение персональных данных в отделениях ГБУ «ЦСОГПВИИ Шарангского района»:
а) персональные данные, содержащиеся на бумажных носителях, хранятся на рабочих местах заведующих отделений, специалистов;
б) персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК заведующих отделений, специалистов.
3.6. Доступ к ПК строго ограничен кругом лиц, определённых в пункте 4.1 настоящего Положения. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.
Раздел 4. Доступ к персональным данным клиента
4.1. Внутренний доступ к персональным данным клиентов имеют следующие должностные лица, непосредственно использующие их в служебных целях:
- директор;
- главный бухгалтер;
- бухгалтер;
- кассир;
- заведующие отделениями:
- социально-бытового обслуживания на дому,
- социально-медицинского обслуживания на дому,
- службы срочной социальной помощи,
- социальной реабилитации инвалидов,
- социально-консультативной помощи,
- Специализированным жилым домом для граждан пожилого возраста и инвалидов;
- специалисты по социальной работе;
- специалист по реабилитации инвалидов;
- специалисты по социальной работе;
- психолог;
- юрист-консульт.
4.1.1. Уполномоченные лица имеют право получать только те персональные данные клиента, которые необходимы для выполнения конкретных функций.
4.1.2. Получение сведений о персональных данных клиентов третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия клиента, персональные данные которого затребованы.
4.1.3. Получение персональных данных клиента третьей стороной без его письменного согласия возможно в случаях, установленных законом.
4.2. Внешний доступ (другие организации и граждане).
Сообщение сведений о персональных данных клиентов другим организациям и гражданам разрешается при наличии письменного согласия клиента и заявления подписанного гражданином, запросившим такие сведения.
4.2.1. Предоставление сведений о персональных данных клиентов без соответствующего их согласия возможно в следующих случаях:
а) при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
б) при поступлении официальных запросов из судебных органов.
4.2.2. Клиент, о котором запрашиваются сведения, должен быть уведомлён о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.
4.2.3. Запрещается передача персональных данных клиентов в коммерческих целях без его согласия.
Раздел 5. Защита персональных данных клиента
5.1. При передаче персональных данных клиента с соблюдением условий, предусмотренных разделом 4 настоящего Положения, заведующие отделений, специалисты обязаны предупредить лиц об ответственности в соответствии с законодательством Российской Федерации.
5.2. В целях обеспечения защиты персональных данных, хранящихся в личных делах, клиенты имеют право:
а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
б) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Клиент при отказе специалиста исключить или исправить персональные данные имеет право заявлять в письменной форме о своём несогласии, обосновав соответствующим образом такое несогласие;
г) требовать от специалиста уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные клиента, обо всех произведённых в них изменениях или исключениях из них;
д) обжаловать в суде любые неправомерные действия или бездействие специалиста при обработке и защите персональных данных клиента.
5.3. При передаче персональных данных клиентов третьим лицам, в том числе представителям клиентов, в порядке, установленном настоящим Положением, и ограничивать эту информацию только теми персональными данными клиентов, которые необходимы для выполнения третьими лицами их функций.
5.5. Защита персональных данных клиента от неправомерного их использования или утраты обеспечивается в порядке, установленном федеральным законом.
Раздел 6. Ответственность за разглашение конфиденциальной информации данных клиента
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиента, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:
а) замечание;
б) выговор;
в) предупреждение о неполном должностном соответствии;
г) освобождение от занимаемой должности;
д) увольнение.