Политика обработки персональных данных в МКУ "Лужская ЦБС"

УТВЕРЖДЕНО

приказом № 14 от 06.03.2020 г.

 

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

В МКУ «ЛУЖСКАЯ ЦЕНТРАЛИЗОВАННАЯ БИБЛИОТЕЧНАЯ СИСТЕМА»

IОбщие положения

      Целью настоящей Политики является обеспечение обработки Персональных данных (далее ПДн) в соответствии с требованиями действующего законодательства Российской Федерации в сфере защиты ПДн, обеспечение безопасности ПДн, обрабатываемых Муниципальным казенным Учреждением «Лужская централизованная библиотечная система» (далее Оператор), от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.

Термины и определения

Информация - сведения (сообщения, данные) независимо от формы их представления.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Автоматизированная обработка ПДн ных - обработка персональных данных с помощью средств вычислительной техники.

Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Предоставление ПДн - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование ПДн ных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача ПДн - передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.

 

 При обработке ПДнпридерживается следующих принципов:

соблюдение законности получения, обработки, хранения, а так же других действий с ПДн;

обработка ПДн исключительно в целях, перечисленных в п.3 настоящей Политики;

хранение ПДн, обработка которых осуществляется с несвязанными между собой целями, в различных базах данных;

сбор только тех ПДн, которые минимально необходимы для достижения заявленных целей обработки;

выполнение мер по обеспечению безопасности ПДн, их точности, достаточности и других характеристик при обработке и хранении;

 соблюдение прав субъекта ПДн на доступ к его ПДн;

 соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

 

II. Обрабатываемые персональные данные

ИСПДн, принадлежащие Оператору,  предназначены для обработки персональных данных:

  • граждан (пользователей), юридических лиц, обращающихся к Оператору за предоставлением муниципальной услуги;
  • работников, в том числе бывших, а также лиц с ними связанных, чьи данные необходимо обрабатывать в соответствии с трудовым и иным законодательством..

Под обработкой ПДн Операторомпонимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Оператором не допускается обработка следующих категорий ПДн:

  •  расовая и национальная принадлежность;
  •  политические взгляды;
  •  религиозные и философские убеждения;
  •  состояние здоровья и интимной жизни.

Операторомпринятие решений на основании исключительно автоматизированной обработки ПДн, а также трансграничная передача ПДн не производится.

Операторне производит обработку ПДн субъектов ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.

Операторможет использовать имя, отчество, телефон и e-mail субъектов ПДн для информирования об услугах, мероприятиях, поступлениях, задолженности с согласия пользователя.

 

III. Цели сбора и обработки персональных данных

Оператор производит сбор и обработку ПДн с целью осуществления предусмотренных законодательством Российской Федерации полномочий органов государственной власти Ленинградской, органов муниципальной власти Лужского района области в сфере культуры, кадрового обеспечения деятельности Учреждения, оформления трудовых отношений; выполнения условий трудовых договоров, начисления заработной платы, подготовки и передачи налоговой отчетности, формирования документов индивидуального (персонифицированного) учета, содействия в обучении и продвижении по службе работников, обеспечения их трудовых прав и безопасности; обеспечения сохранности имущества Учреждения; освещения профессиональной деятельности в СМИ; предоставления гарантий и льгот работникам, предусмотренных трудовым законодательством, коллективным и трудовым договором, локальными нормативными актами и других действий, предусмотренных действующим законодательством Российской Федерации.

 

IV. Условия обработки персональных данных и их передача третьим лицам

4.1. Обработка ПДн

Обработка ПДн Операторомпроисходит как неавтоматизированным, так и автоматизированным способом.

К обработке ПДн Оператором допускаются только сотрудники, прошедшие процедуру допуска, к которой относятся:

  • ознакомление работника под роспись с локальными нормативными актами Оператора (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с ПДн;
  • взятие с работника подписки о соблюдении конфиденциальности в отношении ПДн при работе с ними;
  • получение работником и использование в работе индивидуальных атрибутов доступа к информационным системам (далее – ИС) Оператора, содержащим в себе ПДн. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы ПДн (далее – ИСПДн).
  • работники, имеющие доступ к ПДн, получают только те ПДн, которые необходимы им для выполнения конкретных трудовых функций.

4.2. Хранение персональных данных.

ПДн хранятся в бумажном и электронном виде. В электронном виде ПДн хранятся в ИСПДн Оператора, в архивных копиях баз данных этих ИСПДн.

При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:

  • назначение работника, ответственного за обработку ПДн;
  • ограничение физического доступа к местам хранения и носителям;
  • учет всех информационных систем и электронных носителей, а так же архивных копий;

4.3. Передача ПДн

Для целей обработки данных Оператор может передавать ПДн исключительно своим работникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений, и только с согласия субъектов ПДн, либо когда такая передача предусмотрена действующим законодательством Российской Федерации.

 

V. Защита персональных данных

Обеспечение безопасности ПДн Операторомдостигается следующими мерами:

  • введением Оператором режима защиты ПДн;
  • назначением работника, ответственного за организацию обработки ПДн;
  • назначением для АИСПДн ответственных лиц (ответственный за обеспечение безопасности ПДн в автоматизированных информационных системах обработки ПДн);
  • определением списка лиц, допущенных к работе с ПДн;
  • разработкой и утверждением локальных нормативных актов Оператором регламентирующих порядок обработки ПДн, разработкой для пользователей и ответственных лиц рабочих инструкций;
  • проведением периодического обучения и повышением осведомленности работников в области защиты ПДн;
  • проведением периодических проверок состояния защищенности ИСПДн Оператором.

 

VI. Права субъекта персональных данных

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.

В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:

  • подтверждение факта обработки ПДн;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые способы обработки ПДн;
  • сведения о лицах (за исключением работников Оператора, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или на основании федерального закона);
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн своих прав;
  • иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иными федеральными законами.

Получить данную информацию субъект ПДн может, обратившись с письменным запросом к Оператору. Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней.

Порядок обработки запросов субъектов ПДн по выполнению их законных прав  производится согласно утвержденному внутреннему документу, разработанному в соответствии с действующим законодательством в области защиты ПДн и подконтролен работнику, ответственному за обработку ПДн.

 

VII. Обязанности Оператора

Оператор обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами.

При сборе ПДн Оператор обязуется по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в п.6 настоящей Политики. В случае если предоставление ПДн не является обязательным в соответствии с федеральным законом, Оператор обязуется разъяснять при необходимости субъекту ПДн юридические последствия отказа предоставить его ПДн.

Если ПДн получены не от субъекта ПДн, Оператор до начала обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Оператор при обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн. Описание принимаемых мер приведено в п.5 настоящей Политики.

Оператор обязуется отвечать на запросы субъектов ПДн, их представителей, уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства Российской Федерации.

В случае предоставления субъектом ПДн, либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, Операторобязуется устранить данные нарушения в течение семи рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.

В случае достижения целей обработки ПДн Оператор обязуется прекратить обработку ПДн и уничтожить ПДн в течение 30 дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным соглашением.

Операторобязуется уведомлять уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений Оператор обязуется предоставлять актуализированные сведения в течение десяти рабочих дней с момента возникновения таких изменений или с момента прекращения обработки ПДн.

 

VIII. Ответственность Оператора

Операторнесет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту ПДн.

 

IX. Изменение политики

Политика подлежит внеплановому пересмотру в случае существенных изменений деятельности Оператора, изменений в законодательстве Российской Федерации в области защиты ПДн и иных подобных случаях.

Требования настоящей Политики могут дополняться и уточняться другими внутренними нормативными документами Учреждения.

Внесение изменений в настоящую Политику осуществляется на периодической и внеплановой основе:

  •  периодическое внесение изменений в настоящую Политику производится по мере внесения изменений в Российское законодательство.
  • внеплановое внесение изменений производится по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, результатам проведения контрольных мероприятий. 

 

            ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ  РАБОТНИКОВ МКУ «ЛУЖСКАЯ ЦБС»

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СОИСКАТЕЛЕЙ ВАКАНСИЙ В МКУ «ЛУЖСКАЯ ЦБС»

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ МКУ «ЛУЖСКАЯ ЦБС» 

ПОЛОЖЕНИЕ ОБ ОРГАНИЗАЦИИ И ПРОВЕДЕНИИ РАБОТ ПО ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МКУ «ЛУЖСКАЯ ЦБС»

ПОЛОЖЕНИЕ О РАЗГРАНИЧЕНИИ ПРАВ ДОСТУПА К ОБРАБАТЫВАЕМЫМ ПЕРСНАЛЬНЫМ ДАННЫМ МКУ «ЛУЖСКАЯ ЦБС»

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ В МКУ «ЛУЖСКАЯ ЦБС»

ПОЛОЖЕНИЕ О ПОРЯДКЕ  ДОСТУПА РАБОТНИКОВ МКУ «ЛУЖСКАЯ ЦБС» В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРАВИЛА РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ  В МКУ «ЛУЖСКАЯ ЦБС»