I. Назначение
Политика в отношении обработки персональных данных в краевом государственном бюджетном учреждении социального обслуживания «Центр социальной помощи семье и детям «Минусинский» (далее – Политика) регламентирует обработку персональных данных в краевом государственном бюджетном учреждении социального обслуживания «Центр социальной помощи семье и детям «Минусинский» (далее – Учреждение, КГБУ СО Центр семьи «Минусинский»).
Политика разработана в соответствии c Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным Законом от 27 июля 2006 года №152-ФЗ «О персональных данных», «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119, Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ и другими нормативно правовыми актами, регламентирующие работу в сфере защиты конфиденциальной информации.
В соответствии с указанными правовыми нормами настоящая Политика содержит следующие правила и образцы документов, регламентирующие:
- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
- правила рассмотрения запросов субъектов персональных данных или их законных представителей;
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;правила работы с обезличенными данными;
- перечень персональных данных, обрабатываемых в Учреждении в связи с реализацией трудовых отношений;
- перечень информационных систем персональных данных;
- перечень должностей сотрудников Центра, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
- типовую форму согласия на обработку персональных данных гражданских служащих и работников Учреждении иных субъектов персональных данных, а также типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
- порядок доступа сотрудников Учреждения в помещения, в которых ведется обработка персональных данных.
II. Область применения
Настоящая Политика применяется в Учреждении, обрабатывающем персональные данные в электронном виде и на бумажных носителях.
III. Термины, обозначения, сокращения
В настоящей Политике используются следующие термины и определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Должностное лицо – работник КГБУ СО Центр семьи «Минусинский» правомочный от имени КГБУ СО Центр семьи «Минусинский» исполнять определенные, предусмотренные должностными обязанностями действия.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – требование обязательного соблюдения недопущения распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
Контролируемая зона – это пространство, в котором исключено неконтролируемое пребывание сотрудников, не допущенных в установленном порядке к конфиденциальной информации, а также посетителей оператора и посторонних лиц, технических и иных материальных средств.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Получатель государственных и социальных услуг – гражданин, который признан нуждающимся в социальном обслуживании и которому предоставляются социальная услуга или социальные услуги, а так же гражданин, обратившийся за получением государственных услуг, предоставляемых Учреждением в соответствии с действующим законодательством.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Перечень Главархива – «Перечень типовых документов, образующихся в деятельности госкомитетов, министерств, ведомств и других учреждений, организаций, предприятий, с указанием сроков хранения» (утв. Главархивом СССР 15.08.1988).
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Распространение персональных данных – распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Система защиты информации информационных систем (СЗИИС) – 1) система по обеспечению безопасности информации, создаваемая в соответствии с нормативными правовыми актами с целью нейтрализации актуальных угроз безопасности информации; 2) система защиты информации включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности информации и информационных технологий, используемых в информационных системах.
Субъект персональных данных – физическое лицо, определяемое (идентифицируемое) на основании персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. ( В Учреждении не осуществляется).
В настоящем Положении используются следующие сокращения:
- ИС– информационная система;
- ИСПД – информационная система персональных данных;
- КЗ – контролируемая зона;
- ПД – персональные данные;
- СЗИИС – система защиты информации информационных систем.
IV. Персональные данные
Категории персональных данных, обрабатываемых КГБУ СО Центр семьи «Минусинский»
По логическим основаниям персональные данные, обрабатываемые Учреждением, подразделяются на следующие категории:
- персональные данные, подразделяемые по категориям субъектов ПД;
- персональные данные, подразделяемые по правовому режиму их защиты, которые подразделяются на персональные данные общеправового режима защиты и персональные данные особого правового (специального) режима защиты.
Персональные данные субъектов ПД, обрабатываемые КГБУ СО Центр семьи «Минусинский»
Перечень субъектов, чьи персональные данные обрабатываются Учреждением:
- работники Учреждения;
- должностные лица Учреждения, чьи персональные данные размещены с их согласия в общедоступных источниках;
- получатели социальных услуг;
- лица, обратившиеся в Учреждение по различным вопросам.
Перечень персональных данных работников Учреждения, обрабатываемых Учреждением:
- автобиография;
- сведения- и копии документов об образовании;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- занимаемая должность;
- сведения о наличии судимостей;
- адрес места жительства;
- домашний телефон;
- содержание трудового договора;
- содержание декларации, подаваемой в налоговую инспекцию;
- личные дела и трудовые книжки сотрудников;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии и иные сведения, относящиеся к персональным данным работника.
Перечень обрабатываемых Учреждением персональных данных должностных лиц, чьи персональные данные размещены с их согласия в общедоступных источниках:
- фамилия, имя, отчество;
- год рождения;
- место рождения;
- сведения о профессии;
- фото-видео-материалы для размещения на официальном сайте учреждения и СМИ, с целью формирования имиджа учреждения.
Перечень обрабатываемых Учреждением персональных данных лиц получателей государственных или социальных услуг:
- регистрационный номер учетной записи;
- фамилия, имя, отчество;
- дата рождения;
- пол;
- адрес (место жительства), контактный телефон;
- страховой номер индивидуального лицевого счета;
- серия, номер паспорта или данные иного документа, удостоверяющего личность, дата выдачи этих документов и наименование выдавшего их органа;
- иная информация, определенная Правительством Российской Федерации и необходимая для предоставления заявителю государственных и социальных услуг.
- перечень персональных данных субъектов ПД, обратившихся в Учреждение как оператору персональных данных в порядке ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- фото и видеоматериалы для размещения на официальном сайте учреждения и СМИ, с целью формирования имиджа учреждения.
Учреждение обрабатывает следующие персональные данные лиц, обратившихся в Учреждение по различным вопросам:
- фамилия, имя отчество;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
V. Правила обработки персональных данных
Обработка персональных данных должна осуществляться на законной и справедливой основе.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Основания и цели обработки персональных данных работников Учреждения являются:
- ст.57 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ (Содержание трудового договора);
- ст.8 Федерального закона от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе» (информация, необходимая для занесения в документы воинского учета);
- трудовой договор, заключаемый КГБУ СО Центр семьи «Минусинский» с каждым работником отдельно.
КГБУ СО Центр семьи «Минусинский» обрабатывает персональные данные работников исключительно в целях обеспечения соблюдения Конституции Российской Федерации, Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ, других законов и иных нормативных правовых актов, трудового договора, заключенного между работником и КГБУ СО Центр семьи «Минусинский», содействия работнику в исполнении работы, его обучении и должностном росте, в целях учета результатов исполнения им должностных обязанностей. В соответствии с ч.7 ст.5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» цель обработки персональных данных названной категории субъектов ПД достигается по истечении срока хранения указанных документов. Цель обработки персональных данных названной категории субъектов ПД не может быть достигнута в случае расторжения с ними трудового договора или отзыва ими своего ранее данного согласия на обработку персональных данных в связи с тем, что хранение персональных данных является одним из видов их обработки.
Основания и цели обработки персональных данных должностных лиц КГБУ СО Центр семьи «Минусинский», чьи персональные данные размещены с их согласия в общедоступных источниках
Основанием для обработки, в том числе с использованием средств автоматизации, персональных данных должностных лиц Учреждения, чьи персональные данные размещены с их согласия в общедоступных источниках, является ст.8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Общедоступные источники персональных данных).
- Персональные данные работника, указанные настоящей Политики, Учреждения, вправе размещать в общедоступных источниках только в целях организации управления и информирования граждан о деятельности.
Цель обработки персональных данных указанной категории субъектов достигается:
- в случае увольнения субъекта персональных данных (перевода на другое место работы) или его смерти;
- в случае отзыва субъектом персональных данных ранее данного согласия на обработку персональных данных в порядке ч.2 ст.8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» .
При достижении целей обработка указанной категории персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в срок, установленный законодательством.
Основания и цели обработки, в том числе с использованием средств автоматизации, персональных данных получателей государственных и социальных услуг
Основанием для обработки, в том числе с использованием средств автоматизации, персональных данных получателей государственных и социальных услуг является исполнение полномочий, возложенных на Учреждение, в соответствии с Уставом КГБУ СО Центр семьи «Минусинский».
КГБУ СО Центр семьи «Минусинский» обрабатывает персональные данные получателей государственных и социальных услуг исключительно в целях обеспечения сбора, хранения, обработки и предоставления информации о получателях государственных и социальных услуг.
Цель обработки персональных данных субъекта категории, указанной в настоящей Политике, достигается после расторжение договора о предоставлении социальных услуг или после окончания предоставления государственных услуг.
При достижении целей обработка указанной категории персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в срок, установленный законодательством.
Основания и цели обработки, в том числе с использованием средств автоматизации, персональных данных лиц, обратившихся в КГБУ СО Центр семьи «Минусинский» по различным вопросам
При обращении лиц в КГБУ СО Центр семьи «Минусинский» по различным вопросам, обрабатывает персональные данные следующих категорий субъектов:
- субъектов ПД, обратившихся в Учреждение как оператору персональных данных в порядке ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Основания и цели обработки, в том числе с использованием средств автоматизации, персональных данных субъектов ПД, обратившихся в КГБУ СО Центр семьи «Минусинский как оператору персональных данных в порядке ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Основанием обработки, в том числе с использованием средств автоматизации, персональных данных субъектов ПД, обратившихся в КГБУ СО Центр семьи «Минусинский» как оператору персональных данных, является ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Право субъекта персональных данных на доступ к его персональным данным).
Учреждение обрабатывает персональные данные указанной категории субъектов исключительно в целях охраны имущественных и личных неимущественных прав субъектов ПД.
В связи с тем, что обращения граждан (предложения, заявления, жалобы, претензии и др.), а также документы (справки, сведения, переписка) по их рассмотрению имеют различные сроки хранения, то в соответствии с ч.7 ст.5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», цель обработки персональных данных указанной категории достигается по истечении срока хранения указанных документов, т.к. хранение является одним из видов обработки персональных данных.
При достижении целей обработка указанной категории персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в срок, установленный законодательством.
Источники получения персональных данных
КГБУ СО Центр семьи «Минусинский» все необходимые персональные данные работника получает у него самого. В случае возникновения необходимости получения персональных данных работника у третьей стороны работник извещается об этом заранее, при этом получается его письменное согласие и работнику сообщается о целях, предполагаемых источниках и способах получения персональных данных.
Все необходимые персональные данные должностных лиц Учреждения, чьи персональные данные размещены в общедоступных источниках, Учреждение получает от самих субъектов ПД с письменного согласия субъекта персональных данных.
Учреждение все необходимые персональные данные лиц, обратившихся в Учреждение по различным вопросам, получает от них самих. Субъекту ПД доводятся последствия отказа от предоставления персональных данных Учреждению путем разъяснения необходимости предоставления ПД и заполнения Типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
Учреждение все необходимые персональные данные руководителей юридических лиц, а также физических лиц, с которыми заключены государственные контракты (гражданско-правовые договоры), получает от них самих.
Получение КГБУ СО Центр семьи «Минусинский» согласия работников на обработку их персональных данных и порядок отзыва ранее данного согласия на обработку ПД
В соответствии со ст.23 и ст.24 Конституции Российской Федерации, ч. 3 ст.86 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ; п.1.ч.1 ст.6 и ч.4 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случаях, непосредственно связанных с вопросами трудовых отношений, должностные лица Учреждения вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Письменное согласие работника на обработку его персональных данных оформляется по указанному ниже образцу и хранится в личном деле работника срок, установленный законом, если субъектом персональных данных данное согласие не будет в законном порядке отозвано.
В соответствии с ч.2 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных работник вправе отозвать свое согласие на обработку своих персональных данных.
Получение согласия должностных лиц КГБУ СО Центр семьи «Минусинский» на размещение их персональных данных в общедоступных источниках и порядок отзыва согласия на размещение ПД в общедоступных источниках
В соответствии с ч.1 ст.8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» могут создаваться общедоступные источники персональных данных (телефонные справочники служебных телефонов, размещение информации на официальном сайте КГБУ СО Центр семьи «Минусинский» и рекламных плакатах, печатных изданиях и др.).
Учреждение вправе разместить в общедоступных источниках персональные данные должностных лиц Учреждения только с их письменного согласия.
Должностное лицо Учреждения, ответственное за размещение персональных данных заявителя в общедоступном источнике, обязано удалить указанные персональные данные заявителя из общедоступного источника.
Получение согласия на обработку персональных данных получателей государственных и социальных услуг, и порядок отзыва данного согласия
Получатель государственных и социальных услуг принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть отозвано получателем государственных и социальных услуг персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных учреждение вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152 от 27.07.2006г.
Получение согласия на обработку персональных данных лиц, обратившихся в КГБУ СО Центр семьи «Минусинский» с заявлениями по различным вопросам, и порядок отзыва данного согласия
В связи с тем, что обработка персональных данных лиц, обратившихся в Центр по различным вопросам, осуществляется в соответствии с требованиями:
- Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- В соответствии с п.2 ч.1 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» получения согласия указанных лиц на обработку их ПД не требуется.
В связи с тем, что получение согласия лиц, обратившихся в Учреждение по различным вопросам, на обработку их персональных данных не предусмотрено на законном основании, то не предусматриваются сами форма и процедура отзыва указанного согласия.
Обработка персональных данных с применением средств автоматизации
В Учреждении персональные данные сотрудников обрабатываются в ИСПД:
- «СБиС ++Электронная отчетность»;
- «1С Заработная плата и Управление Персоналом 8»;
- «1С Бухгалтерия 8»;
- «Обучающе-контролирующая система «ОЛИМПОКС»;
- «Меркурий»;
- «Программный комплекс «Регистр получателей социальных услуг»;
- «Winas».
В государственных информационных системах Центра обрабатываются следующие персональные данные:
- персональные данные льготных категорий граждан, которым оказываются государственные и социальные услуги в:
- «БАРС.Мониторинг-Социальная Защита»;
- «Программный комплекс «Реестр поставщиков социальных услуг»;
- «АИС «Госзаказ»;
- «Модуль авторизации в ЕСИА»;
- «Программа для ЭВМ «Электронная площадка для государственных и муниципальных закупок в соответствии с Законом № 44-ФЗ»;
- «Система автоматизации процесса закупок»;
- «Программный комплекс «Регистр получателей социальных услуг»;
- «Effecton Studio»;
- «информационная система ТФОМС».
Перечень информационных систем персональных данных Центра ведется администратором защиты информации.
Наименование используемых криптографических средств:
- Средство криптографической защиты информации «КриптоПро CSP (версия 4.0.9842);
- ViPNet Client 4.
Класс СКЗИ: КС1; КС2; КС3;
Правила обработки персональных данных без средств автоматизации
Обработка персональных данных, содержащихся в информационных системах Учреждения, либо извлеченных из таких систем, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (работника Учреждения).
В соответствии с ч.2. ст.1 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Обработка персональных данных в Учреждении, осуществляемая без использования средств автоматизации, должна применяться с учетом требований настоящей Политики.
Особенности организации обработки персональных данных, осуществляемой без средств автоматизации
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели, обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
К обработке персональных данных, в том числе и без средств автоматизации, работники Учреждения должны допускаться в установленном порядке.
Специалисты, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:
- о факте обработки ими персональных данных, обработка которых осуществляется Центром без использования средств автоматизации;
- о категориях обрабатываемых персональных данных;
- об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также приказами Учреждения.
Ведомости ознакомления, указанные в настоящей Политике, должны храниться совместно с соответствующими им организационно – распорядительными актами.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес КГБУ СО Центр семьи «Минусинский», фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.
Для исполнения условий, указанных в настоящей Политике, типовые формы, используемые сотрудниками КГБУ СО Центр семьи «Минусинский», должны утверждаться внутренними организационно-распорядительными актами.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменений, либо путем изготовления нового материального носителя с уточненными персональными данными.
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации
Обработка персональных данных, осуществляемая в КГБУ СО Центр семьи «Минусинский», без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Правила работы с обезличенными данными
Обезличивание персональных данных является одним из видов их обработки.
Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности. Принцип конфиденциальности персональных данных не подлежит умалению в связи с их обезличиванием.
Обезличивание персональных данных производится по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
Цели обезличивания персональных данных
Обезличивание персональных данных производится для:
- ведения статистических или иных исследовательских целей;
- снижения возможного ущерба от разглашения защищаемых персональных данных;
- снижения класса информационных систем персональных данных.
Требования, предъявляемые к обезличенным персональным данным
Обезличенные персональные данные должны обладать следующими основными характеристиками (свойствами):
- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
Требования, предъявляемые к методам обезличивания персональных данных
К характеристикам (свойствам) методов обезличивания персональных данных (далее – методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
- обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
- возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
- совместимость (возможность интеграции персональных данных, обезличенных различными методами);
- параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
Требования к методам обезличивания подразделяются на:
- требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
- требования к свойствам, которыми должен обладать метод обезличивания.
- Требованиям к свойствам получаемых обезличенных данных включают в себя:
- сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
- сохранение структурированности обезличиваемых персональных данных;
- сохранение семантической целостности обезличиваемых персональных данных;
- анонимность отдельных данных не ниже заданного уровня.
К требованиям к свойствам метода обезличивания относятся:
- обратимость (возможность проведения деобезличивания);
- возможность обеспечения заданного уровня анонимности;
- увеличение стойкости при увеличении объема обезличиваемых персональных данных.
Методы обезличивания персональных данных
Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).
Метод введения идентификаторов
Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- семантическая целостность;
- применимость.
Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
- изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
- параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
Лица, ответственные за обезличивание персональных данных
Обезличивание персональных данных производится специально назначенными должностными лицами КГБУ СО Центр семьи «Минусинский», включенными в Перечень должностных лиц КГБУ СО Центр семьи «Минусинский», ответственных за проведение мероприятий по обезличиванию персональных данных.
В начале каждого года или по мере необходимости приказом КГБУ СО Центр семьи «Минусинский», утверждается новая редакция Перечня должностных лиц КГБУ СО Центр семьи «Минусинский», ответственных за проведение мероприятий по обезличиванию персональных данных (в настоящее время обезличивание персональных данный в Центре не производится(нет необходимости)).
Сроки хранения и обработки персональных данных
При достижении целей обработка персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в сроки, установленные законодательством.
Порядок предоставления персональных данных по мотивированным запросам компетентных органов (организаций)
По общему правилу операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПД, если иное не предусмотрено федеральным законом.
В соответствии с федеральным законодательством, КГБУ СО Центр семьи «Минусинский» обязано предоставлять персональные данные субъектов следующим органам (организациям) или их должностным лицам:
- по мотивированному запросу прокурора, руководителя следственного органа, следователя, органа дознания и дознавателя, предъявленному в пределах их полномочий, установленных Уголовно-процессуальным кодексом Российской Федерации”;
- военным комиссариатам – сведения о воинском учете сотрудников (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение ВУС, категория годности к военной службе, наименование комиссариата по месту жительства, воинский учет (общий, специальный);
- налоговым органам – фамилия, имя, отчество, дата и место рождения работника; его оклад; произведенные работнику начисления и выплаты, данные о заработной плате, номер лицевого счета в банке; табельный номер, суммарный доход с начала года;
- территориальным органам Пенсионного фонда РФ – номер страхового свидетельства государственного пенсионного страхования работника, стаж для расчета страховой части пенсионных накоплений работнику;
- участникам межведомственного взаимодействия в пределах их полномочий, установленных действующим законодательством.
Порядок уничтожения персональных данных в КГБУ СО Центр семьи «Минусинский» после достижения целей обработки
Уничтожение персональных данных в КГБУ СО Центр семьи «Минусинский», производится по акту согласно Положению о конфиденциальной информации КГБУ СО Центр семьи «Минусинский».
Обязанности КГБУ СО Центр семьи «Минусинский» как оператора персональных данных
В соответствии со ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», КГБУ СО Центр семьи «Минусинский», как оператор персональных данных обязано безвозмездно предоставить по просьбе гражданина информацию об его персональных данных, указанных в настоящей Политике.
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, должностные лица Центра обязаны разъяснить субъекту ПД юридические последствия отказа предоставить его персональные данные.
Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных настоящей Политики, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- права субъекта персональных данных, установленные Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- источник получения персональных данных.
Учреждение освобождается от обязанности предоставить субъекту персональных данных сведения, в случаях, если:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- предоставление субъекту персональных данных нарушает права и законные интересы третьих лиц.
В соответствии со ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Учреждение обязано в порядке, предусмотренном, сообщить субъекту ПД или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту ПД, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных, либо его представителя или в течении тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте ПД, либо отказа в предоставлении персональных данных субъекту ПД или его представителю, Центр обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющегося основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя или с даты получения запроса субъекта персональных данных или его представителя.
Учреждение как оператор обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Учреждение обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Учреждение обязано уничтожить такие персональные данные. Учреждение обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Учреждение обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Учреждение обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Учреждения обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности обрабатываемых персональных данных Центр на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой Учреждением или лицом, действующим по его поручению, Учреждение в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по его поручению. В случае, если обеспечить правомерность обработки персональных данных невозможно, Учреждение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае достижения цели обработки персональных данных Учреждение обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо если Центр не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Учреждение обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо если Учреждение не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного настоящей Политики, Учреждение осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Учреждение обязано не принимать на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением следующих случаев:
- при наличии согласия в письменной форме субъекта персональных данных;
- в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Учреждение обязано разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Учреждение обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
VI. Требования к персоналу
Категории персонала КГБУ СО Центр семьи «Минусинский»
- сотрудники, имеющие доступ к ПД получателей социальных услуг;
- сотрудники, имеющие доступ к ПД сотрудников Учреждения;
- сотрудники, имеющие доступ к ПД лиц, обратившихся в Учреждение;
- сотрудники, имеющие доступ к ПД;
- сотрудники, не имеющие доступ к ПД.
Перечень должностей сотрудников КГБУ СО Центр семьи «Минусинский», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
В связи с тем, что персональные данные являются одним из видов конфиденциальной информации, охраняемой законом, то в Учреждении доступ к персональным данным осуществляется в соответствии с установленной разрешительной системой доступа к конфиденциальной информации.
В соответствии с разрешительной системой доступа к конфиденциальной информации в начале каждого года или по мере необходимости Учреждением устанавливается Перечень должностей сотрудников, замещение которых предусматривает их допуск к конфиденциальной информации Учреждения (Положение о конфиденциальной информации Учреждения»), утвержденный приказом.
Доступ конкретных должностных лиц Учреждения осуществляется в соответствии с Перечнем сведений конфиденциального характера Учреждения , утвержденного приказом директора.
Порядок осуществления доступа к ПД
Внутренний доступ (доступ внутри КГБУ СО Центр семьи «Минусинский»)
Внутренний доступ к персональным данным имеют должностные лица Учреждения, допущенные к работе с ПД как конкретной категории конфиденциальной информации в установленном порядке.
Внешний доступ
Надзорно – контрольные органы имеют доступ к информации только в сфере своей компетенции, на законных основаниях и при наличии документов, на основании которых они проводят проверку.
Организации, в которые сотрудник Учреждения, может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным сотрудника Учреждения, только в случае его письменного разрешения.
Сведения о сотруднике, находящемся в трудовых отношениях с Учреждением или уже уволенном, могут быть предоставлены другой организации только на законном основании с письменного запроса на бланке организации с приложением копии заверенного заявления сотрудника (бывшего сотрудника).
Персональные данные сотрудника Учреждения могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.
Порядок проведения внутренних проверок
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Учреждения организует проведение периодических проверок по плану, утверждаемому внутренним приказом директора Учреждения.
Проверки осуществляются ответственным лицом за организацию обработки персональных данных и администраторами информационной безопасности.
О результатах проведенных проверок и мерах, необходимых для устранения нарушений, ответственный за организацию обработки персональных данных, ответственного за безопасность информации в информационных системах Учреждения, докладывают директору учреждения.
VII. Ответственность и полномочия персонала
Ответственность персонала
За нарушение требований настоящей Политики должностные лица Учреждения несут ответственность в соответствии с действующим законодательством.
Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
Руководитель, разрешающий доступ работника к персональным данным, несет персональную ответственность за данное разрешение.
Каждый работник Учреждения получающий для работы персональные данные иных субъектов, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Лица, виновные в нарушении норм, регламентирующих получение, обработку и защиту персональных данных, в том числе и обрабатываемых в автоматизированной информационной системе Центра несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством:
За неисполнение или ненадлежащее исполнение работником возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными как информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности, работодатель вправе применять дисциплинарные взыскания в порядке, установленном ст. 193 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ.
Должностные лица, в обязанность которых входит обработка персональных данных работника Центра обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено федеральным законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных федеральным законом, либо предоставление неполной или заведомо ложной информации является законным основанием для привлечения должностного лица к административной ответственности.
В соответствии с Гражданским Кодексом РФ лица, незаконными методами получившие информацию, в отношении которой установлено требование об обеспечении ее конфиденциальности, обязаны возместить причиненные убытки.
За нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения, предусмотрена уголовная ответственность в виде штрафа, либо лишения права занимать определенные должности или заниматься определенной деятельностью, либо ареста.
Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
Полномочия персонала
Работники Учреждения имеют право выходить к руководству Учреждения с предложениями об усовершенствовании технологии обработки персональных данных.
Изменения в настоящую Политику вносятся приказом Учреждения после обязательного согласования вносимых изменений с работником, ответственного за организацию обеспечения безопасности информации в информационных системах Учреждения, отвечающим за соответствие вносимых изменений требованиям законодательства и нормативно-правовых актов.