Политика в отношении персональных данных МБУК "ЦК "Орджоникидзевский"

Политика в отношении персональных данных МБУК "ЦК "Орджоникидзевский"

Внимание, при работе с сервисами сайта http://цк-орджо.екатеринбург.рф, а также при использовании сервиса обратной связи «Задать вопрос», «Бронирование услуг» обрабатывается следующая информация Пользователя: фамилия, имя, отчество, номер телефона, Е-mail, IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация.

Заявление о согласии на обработку персональных данных (11Кб)

Утверждено: Приказом директора МБУК "ЦК "Орджоникидзевский" №140 от 28.12.2016 года.

ПОЛОЖЕНИЕ

о защите персональных данных работников и потребителей (заказчиков) услуг.

  1. Общие положения
    1. Настоящее Положение о защите персональных данных работников и потребителей (заказчиков) услуг (далее – Положение) устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников и потребителей (заказчиков) услуг Муниципального бюджетного учреждения культуры «Центр культуры «Орджоникидзевский» (далее – Учреждение).
    2. Положение является локальным нормативным актом Учреждения.
    3. Положение разработано в соответствии с:
      • п. 1 ст. 23, ст. 24 Конституция РФ;
      • гл.14 Трудового кодекса РФ;
      • Федеральным законом № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации»;
      • Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных» (с изменениями на 29.07.2017 № 223-ФЗ).
    4. Положение разработано с целью защиты информации, относящейся к личности и личной жизни работников, и потребителей (заказчиков) услуг Учреждения.
    5. Сведения о персональных данных работников, и потребителей (заказчиков) услуг относится к числу конфиденциальных. Режим конфиденциальности в отношении персональных данных снимается:
      • в случае из обезличивания;
      • по истечении 75 лет срока их хранения;
      • в других случаях, предусмотренных Федеральными законами.
  2. Основные понятия. Состав персональных данных
    1. Персональные данные – любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
    2. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
    3. Персональные данные потребителя (заказчика) услуг – информация, необходимая Учреждению в связи с отношениями, возникающими между потребителем и Учреждением.
    4. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
    5. Распространение персональных данных – действия, направленные на передачу персональных данных определённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
    6. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
    7. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
    8. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах работников:
      • паспортные данные работника;
      • данные ИНН;
      • данные страхового свидетельства государственного пенсионного страхования;
      • данные отношения к воинской службе;
      • сведения об образовании, профессиональной переподготовке, повышении квалификации;
      • анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе – автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
      • данные о возрасте малолетних детей и месте их обучения;
      • данные о состоянии здоровья детей и других родственников (включая справки об инвалидности, о наличии хронических заболеваний);
      • данные о состоянии здоровья (сведения об инвалидности, о беременности и т.п.);
      • иные данные, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров, справки об отсутствии судимости).
    9. В личном деле работника подшиваются следующие документы:
      • сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущего места работы;
      • трудовой договор;
      • копии приказов о приеме, переводах, увольнении;
      • личная карточка по форме Т-2;
      • заявления, объяснительные и служебные записки работника;
      • документы о прохождении работником аттестации, повышения квалификации;
      • иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником (включая приговоры суда о запрете заниматься педагогической деятельностью или занимать руководящие должности).
    10. К персональным данным потребителей (заказчиков) услуг, получаемым Учреждением и подлежащим хранению в Учреждении в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения:
      • документы, удостоверяющие личность потребителя (свидетельство о рождении или паспорт);
      • документы о месте проживания;
      • документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний, медицинское заключение об отсутствии противопоказаний для получения услуги и т.п.);
      • иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления потребителю гарантий и компенсаций, установленных действующим законодательством). Потребители (заказчики) услуг могут сообщить иные сведения, с которыми считают нужным ознакомить работников Учреждения.
  3. Основные условия проведения обработки персональных данных
    1. Учреждение определяет объем, содержание обрабатываемых персональных данных работников и потребителей услуг, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и Законами РФ.
    2. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.
    3. Обработка персональных данных потребителя услуги может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; содействия потребителю в получении услуги; обеспечения их личной безопасности; контроля качества предоставляемой услуги и обеспечения сохранности имущества.
    4. Все персональные данные работника предоставляются работником, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника, возможно, получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
    5. Все персональные данные несовершеннолетнего потребителя услуги в возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями). Если персональные данные потребителя услуги возможно получить только у третьей стороны, то родители (законные представители) потребителя должны быть уведомлены об этом заранее. От них должно быть получено письменное согласие на получение персональных данных от третьей стороны. Родители (законные представители) потребителя услуги должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
    6. Учреждение не имеет права получать и обрабатывать персональные данные работника, потребителя услуги о его политических, религиозных и иных убеждениях и частной жизни без письменного согласия работника, потребителя услуги. Учреждение не имеет права получать и обрабатывать персональные данные работника, потребителя услуги о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
    7. Учреждение вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений:
      • работника только с его письменного согласия или на основании судебного решения;
      • потребителя услуги только с его письменного согласия или родителей (законных представителей) малолетнего несовершеннолетнего потребителя или на основании судебного решения.
  4. Хранение, обработка и использование персональных данных.
    1. Персональные данные работников и потребителей услуг Учреждения хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях, в местах, обеспечивающих защиту от несанкционированного доступа.
    2. В процессе хранения персональных данных работников и потребителей услуг Учреждение должно обеспечивать:
      • требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
      • сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
      • контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
    3. Доступ к персональным данным работников и потребителей услуг Учреждения имеют:
      • директор;
      • специалист по кадрам;
      • иные работники, определяемые приказом директора Учреждения в пределах своей компетенции.
    4. Помимо лиц, указанных в п. 4.3. настоящего Положения, право доступа к персональным данным работников и потребителям услуг имеют только лица, уполномоченные действующим законодательством.
    5. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные работников и потребителей услуг лишь в целях, для которых они были предоставлены:
      1. Персональные данные потребителей услуг используются для целей, связанных с осуществлением культурно-досуговой деятельности. Администрация и работники Учреждения используют персональные данные для формирования групп, кружков, клубов по интересам, составления годового плана работы, заключения договоров о предоставлении услуги, составления отчётов в вышестоящие организации, формирования различных баз данных, для возможности поддерживать связь с потребителями услуги, учитывать их особенности при оказании услуги.
      2. Персональные данные работника используются для целей, связанных с выполнением трудовых функций. Администрация Учреждения использует персональные данные, в частности, для решения вопросов аттестации, формирования годового плана работы, составления отчётов в вышестоящие организации, формирования различных баз данных, продвижения работников по службе, установления размера зарплаты. При принятии решений, затрагивающих интересы работника, Администрация не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.
    6. Персональные данные работника отражаются в личной карточке работника (форма Т-2), которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в специально оборудованных несгораемых шкафах в алфавитном порядке. Личные дела и личные карточки работников хранятся в бумажном виде в папках в специальном сейфе, доступ к которому имеет специалист по кадрам и директор Учреждения.
    7. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Постоянный доступ (в пределах своей компетенции) к электронным базам данных, содержащим персональные данные работников, имеет только Администрация Учреждения. Доступ других работников к персональным данным осуществляется на основании письменного разрешения работника и распоряжения директора Учреждения.
    8. Пароли для доступа к электронной базе данных Учреждения устанавливаются директором и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников. Изменение паролей происходит не реже, чем 1 раз в три месяца.
    9. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения работника и директора Учреждения.
    10. Персональные данные потребителя услуги отражаются в подписанном с ним договоре, личном деле, которое заполняется после издания приказа о его зачислении в Учреждение. Личные дела потребителей услуг в алфавитном порядке формируются в папках клубных формирований, которые хранятся в специально оборудованном шкафу, доступ к которому имеет администрация Учреждения и руководители клубных формирований.
    11. Ведение личных дел и ответственность за сохранность личных дел возложено на руководителей клубных формирований.
    12. Частично сведения о потребителях услуг содержатся в журнале учета работы клубного формирования, куда заносятся его руководителем. Журнал хранятся в кабинете менеджера по культурно-массовому досугу (художественного руководителя) в специальном шкафу.
    13. Персональные данные потребителей услуг могут также храниться в электронном виде в локальной компьютерной сети. Право полного доступа к электронным базам данных, содержащим персональные данные потребителей, имеет администрация. Остальные работники имеют доступ только к той информации, которая им необходима в пределах исполнения их должностных обязанностей.
    14. Пароли доступа к базе данных устанавливаются директором и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.
    15. Копировать и делать выписки из персональных данных потребителей услуг разрешается исключительно в служебных целях с их письменного разрешения, родителей (законных представителей) и директора Учреждения.
  5. Передача персональных данных
    1. При передаче персональных данных работников и потребителей услуг Учреждения другим юридическим и физическим лицам Учреждение должно соблюдать следующие требования:
      1. Персональные данные работника, потребителя услуги не могут быть сообщены третьей стороне без письменного согласия работника, потребителя, родителей (законных представителей) несовершеннолетнего (малолетнего) потребителя, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, потребителя услуги, а также в случаях, установленных федеральным законом.
      2. Лица, получающие персональные данные работника, потребителя услуги должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Учреждение должно требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, потребителя услуги обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
    2. Передача персональных данных работника, потребителя услуги его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций.
  6. Права работников, потребителей услуг на обеспечение защиты персональных данных.
    1. В целях обеспечения защиты персональных данных, хранящихся в Учреждении, работники, потребители услуг, родители (законные представители) малолетнего несовершеннолетнего потребителя, имеют право:
      1. Получать полную информацию о своих персональных данных и их обработке.
      2. Свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника, потребителя услуги, родителей (законных представителей) – к ответственному за организацию и осуществление хранения персональных данных работников и потребителей услуг.
      3. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование должно быть оформлено письменным заявлением работника на имя директора Учреждения. При отказе директора Учреждения исключить или исправить персональные данные работника, потребителя работник, потребитель, родитель (законный представитель) несовершеннолетнего потребителя имеет право заявить в письменном виде директору Учреждения о своем несогласии, с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник, потребитель, родитель (законный представитель) несовершеннолетнего потребителя имеет право дополнить заявлением, выражающим его собственную точку зрения.
      4. Требовать об извещении Учреждением всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, потребителя услуги обо всех произведенных в них исключениях, исправлениях или дополнениях.
      5. Обжаловать в суде любые неправомерные действия или бездействия Учреждения при обработке и защите его персональных данных.
  7. Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных.
    1. В целях обеспечения достоверности персональных данных работники обязаны:
      • при приеме на работу в Учреждение представлять уполномоченным работникам Учреждения достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации;
      • в случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в течение 5 рабочих дней с даты их изменений.
    2. В целях обеспечения достоверности персональных данных потребители услуг, родители (законные представители) несовершеннолетних потребителей обязаны:
      • при приеме в Учреждение предоставлять уполномоченным работникам Учреждения достоверные сведения о себе и своих несовершеннолетних детях;
      • в случае изменения сведений, составляющих персональные данные потребителя, родителя (законного представителя), несовершеннолетнего потребителя в возрасте до 14 лет обязаны в течение месяца сообщить об этом уполномоченному работнику Учреждения.
  8. Ответственность за нарушение настоящего положения
    1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несёт дисциплинарную, административную, гражданско–правовую или уголовную ответственность в соответствии с действующим законодательством.
    2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несёт материальную ответственность в соответствии с действующим трудовым законодательством.
    3. Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством.
    4. Учреждение вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных:
      • относящихся к субъектам персональных данных, которых связывают с Учреждением трудовые отношения (работникам);
      • полученных Учреждением в связи с заключением договора, стороной которого является субъект персональных данных (потребитель и др.), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Учреждением исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
      • являющихся общедоступными персональными данными;
      • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
      • необходимых в целях однократного пропуска субъекта персональных данных на территорию Учреждения или в иных аналогичных целях;
      • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
      • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Во всех остальных случаях директор Учреждения и (или) уполномоченные им лица обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление.