Об утверждении Политики в отношении обработки персональных данных Во исполнении требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», руководствуясь Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» приказываю: 1. Утвердить политику в отношении обработки персональных данных в муниципальном бюджетном учреждении «Многофункциональный центр предоставления государственных и муниципальных услуг» в федеральной территории «Сириус» (далееПолитика), согласно приложению. 2. Разместить кодекс в общедоступных местах, на информационном стенде и официальном сайте, с целью ознакомления граждан. 3. Заместителю директора ознакомить с настоящим приказом всех сотрудников под подпись. 4. Контроль за исполнением настоящего приказа оставляю за собой. 5. Настоящий приказ вступает в силу со дня его подписания. Директор ПРИЛОЖЕНИЕ к приказу директора муниципального бюджетного учреждения «Многофункциональный центр предоставления государственных»в федеральной территории «Сириус» Политика муниципального бюджетного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг» в федеральной территории «Сириус» 1. Общие положения 1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) устанавливает порядок получения, обработки, использования, хранения и гарантии конфиденциальности персональных данных, необходимых для осуществления деятельности Муниципального бюджетного учреждения «Многофункциональный центр предоставления государственных услуг» в федеральной территории «Сириус» (далее – МБУ «МФЦ» в федеральной территории «Сириус»), как с использованием средств автоматизации, так и без использования указанных средств и является основополагающим внутренним регулятивным документом МБУ «МФЦ» в федеральной территории «Сириус», определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее — ПДн). 1.2. Правовые основания обработки персональных данных: Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 27.07.2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»; Федеральный закон от 02.05.2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; Федеральный закон от 15.12.2001 года № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Федеральный закон от 16.07.1999 года № 165-ФЗ «Об основах обязательного социального страхования»; Федеральный закон от 24.07.1998 года № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; Федеральный закон от 12.01.1996 года № 7-ФЗ «О некоммерческих организациях»; Постановление Правительства РФ от 27.09.2011 года № 797 «О взаимодействии между многофункциональными центрами предоставления 3 государственных и муниципальных услуг и федеральными органами исполнительной власти, органами государственных внебюджетных фондов, органами государственной власти субъектов российской федерации, органами местного самоуправления»; Постановление Правительства РФ от 22.12.2012 года № 1376 «Об утверждении Правил организации деятельности многофункциональных центров предоставления государственных и муниципальных услуг»; Постановление Правительства РФ от 27.11.2006 года № 719 «Об утверждении Положения о воинском учете»; Приказ федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»; Соглашения о взаимодействии, заключенные между органами исполнительно власти и МБУ «МФЦ» в федеральной территории «Сириус», 1.2. Политика разработана в соответствии с Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 01.10.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федеральным законом от 27.07.2010 №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и иными нормативно-правовыми актами Российской Федерации в области защиты информации, трудовых отношений и предоставления государственных и муниципальных услуг. 1.3. Основные понятия, используемые в настоящей Политике: Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, 4 позволяющими определить такую информацию или её материальный носитель. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Информационная система персональных данных – это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляется при непосредственном участии человека. Оператор персональных данных – государственные орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами Российской Федерации не распространяется требование соблюдения конфиденциальности. 5 Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Субъект персональных данных – физическое лицо, к которому относятся персональные данные и который может быть идентифицирован на основании таких данных. В настоящем документе под субъектом персональных данных понимается: работник МФЦ – физическое лицо, с которым МБУ «МФЦ» в федеральной территории «Сириус» имеет трудовой договор, включая уволенных сотрудников, членов семьи работников и лиц, претендующих на работу; заявитель МФЦ – физическое или юридическое лицо, обратившееся в МБУ «МФЦ» в федеральной территории «Сириус» за предоставлением государственных или муниципальных услуг. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. 1.4. Целью настоящей Политики является определение порядка обработки персональных данных физических лиц; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным граждан, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных. 1.5. Политика действует в отношении всех персональных данных, обрабатываемых Оператором, полученных как до, так и после издания настоящей Политики. 1.6. Действие настоящей Политики распространяется на персональные данные, обрабатываемые с применением средств автоматизации и без применения таковых. 1.7. Действие настоящей Политики распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов 6 ПДн всех категорий, а также на работников Оператора, принимающих участие в указанных процессах. 1.8. Требования Политики являются обязательными для исполнения всеми сотрудниками МБУ «МФЦ» в федеральной территории «Сириус», имеющими доступ к ПДн. Сотрудники должны быть ознакомлены с настоящей Политикой под роспись. 2. Цели обработки, состав, категории и содержание персональных данных 2.1. В МБУ «МФЦ» в федеральной территории «Сириус» обрабатываются персональные данные следующих категорий субъектов ПДн: сотрудников МБУ «МФЦ» в федеральной территории «Сириус»; заявителей. 2.2. ПДн сотрудников обрабатываются в целях обеспечения кадровой и бухгалтерской работы (ведение и хранение личных дел, учетных карточек и трудовых книжек сотрудников, содействие в обучении и должностном росте, учет результатов исполнения ими должностных обязанностей, в целях обеспечения сохранности имущества МБУ «МФЦ» в федеральной территории «Сириус»). 2.3. В целях, указанных в пункте 2.2 настоящей Политики, обрабатываются следующий ПДн сотрудников: фамилия, имя, отчество; данные о дате (год, месяц, число) и месте рождения; адрес (фактического местонахождения и регистрации); данные паспорта (серия, номер, кем и когда выдан); данные семейного положения; данные свидетельства о заключении/расторжения брака; данные налогоплательщика (ИНН); идентификационные данные для начисления пенсии (СНИЛС); данные пенсионного удостоверения; данные военного билета; данные страхового медицинского полиса; сведения об образовании; зарплатный расчетный счет сотрудника; сведения о начислении заработной платы; данные о месте работы (подразделение, должность), окладе (ставке) сотрудника; кадровые сведения личного дела сотрудника. 2.4. Обработка ПДн Заявителей осуществляется в целях организации предоставления государственных и муниципальных услуг, в том числе, в электронной форме по принципу «одного окна» в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». 7 2.5. В целях, указанных в пункте 2.4 настоящей Политики, обрабатываются следующие ПДн Заявителей: фамилия, имя, отчество; данные о дате (год, месяц, число) и месте рождения; адрес (фактического местонахождения и регистрации); данные паспорта (серия, номер, кем и когда выдан); данные семейного положения; данные о гражданстве; данные водительского удостоверения; паспорт транспортного средства; сведения о выданной индивидуальному предпринимателю лицензии; данные свидетельства о рождении; данные свидетельства о заключении/расторжении брака; данные налогоплательщика (ИНН); идентификационные данные для начисления пенсии (СНИЛС); данные пенсионного удостоверения; данные военного билета; данные страхового медицинского полиса; данные о смене фамилии; данные о ранее выданных паспортах; биометрические данные (изображение лица и папиллярных узоров пальцев рук). контактные данные (номер телефона, адрес электронной почты). 3. Организация обработки, сроки обработки и правила хранения персональных данных 3.1. Обработка персональных данных в МБУ «МФЦ» в федеральной территории «Сириус», включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, обезличивание и уничтожение персональных данных. 3.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов осуществляются путем получения персональных данных непосредственно от субъектов персональных данных. 3.3. Если предоставление персональных данных является обязательным в соответствии с законодательством, необходимо разъяснить субъектам персональных данных юридические последствия отказа предоставить свои персональные данные, включая невозможность получения услуги. 8 3.4. Запрещается получать и обрабатывать персональные данные субъектов, касающиеся расовой принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни. 3.5. Передача (распространение, предоставление) персональных данных субъектов третьим лицам должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством. 3.6. Обработка персональных данных осуществляется с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе). 3.7. По мотивированному запросу исключительно для выполнения возложенных законодательством функции и полномочий персональные данные субъекта без его согласия могут быть переданы: в судебные органы в связи с осуществлением правосудия; в органы службы безопасности; в органы прокуратуры; в органы полиции; в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения. 4. Сроки и правила хранения ПДн 4.1. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование. 4.2. При работе с документами, содержащими ПДн, запрещается оставлять их на рабочем месте или оставлять шкафы (сейфы) с данными документами открытыми (незапертыми) в случае выхода из рабочего помещения. 4.3. В конце рабочего дня все документы, содержащие ПДн, должны быть убраны в шкафы (сейфы). 4.4. Хранение персональных данных субъектов персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами МБУ «МФЦ» в федеральной территории «Сириус». 4.5. Все электронные носители ПДн должны быть учтены. Учет внешних съемных электронных носителей информации, содержащих персональных данных, осуществляется в подразделениях, осуществляющих обработку ПДн. 4.6. Сотрудник имеющий доступ к ПДн субъектов персональных данных в связи с исполнением трудовых обязанностей обязан: обеспечивать хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц; при уходе в отпуск, нахождении в служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте он обязан 9 передать документы и иные носители, содержащие ПДн, лицу, на которое приказом или распоряжением МБУ «МФЦ» в федеральной территории «Сириус» будет возложено исполнение его трудовых обязанностей. 4.7. При увольнение сотрудника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДН, сдаются сотрудником своему непосредственному руководителю. 4.8. После прекращения трудового договора, а также по истечении срока хранения документов в отделе кадров документы по личному составу (личные карточки формы Т-2, лицевые карточки) передаются на хранение в архив. 4.9. Сроки обработки и хранения документов с персональными данными работников МБУ «МФЦ» в федеральной территории «Сириус», а также заявителей определяются в соответствии с законодательством Российской Федерации. 4.10. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных. 5. Ответственность 5.1. Сотрудник, которому в силу трудовых отношений с МБУ «МФЦ» в федеральной территории «Сириус» стала известна информация, составляющая персональные данные, в случае нарушения правил обработки (защиты) этих ПДн несет материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации. 5.2. Разглашение ПДн субъектов ПДн (передача их посторонним лицам, в том числе сотрудникам МБУ «МФЦ» в федеральной территории «Сириус», не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, локальными нормативными актами (приказами, распоряжениями) МБУ «МФЦ» в федеральной территории «Сириус», может повлечь наложение на сотрудника, имеющего доступ к ПДн, дисциплинарного взыскания, если иное не предусмотрено законодательством РФ. 5.3. Руководство МБУ «МФЦ» в федеральной территории «Сириус» за нарушение норм, регулирующих получение, обработку и защиту ПДн сотрудника, несет административную ответственность согласно ст.5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей ПДн сотрудника.