Конфиденциальность

Документы, определяющие политику в отношении обработки персональных данных

Документы, определяющие политику МОГАУ «МФЦ» в отношении обработки персональных данных
(DOC, 203 КБ)

Приложение № 1
к приказу МОГАУ «МФЦ»
от «11» января 2023 года № 002

Положение о персональных данных в МОГАУ «МФЦ»

г. Магадан
2023 г.

Оглавление

Общие положения
Правовое основание обработки персональных данных
Цель обработки персональных данных
Условия и порядок обработки персональных данных сотрудников, в том числе уволенных, а также членов их семей
Условия и порядок обработки персональных данных кандидатов для приема на работу
Условия и порядок обработки персональных данных физических лиц, обратившихся с заявлениями, обращениями, жалобами в том числе с использованием функционала сайта МОГАУ «МФЦ»
Условия и порядок обработки персональных данных заявителей и членов их семей
Перечень информационных систем персональных данных
Меры по обеспечению безопасности персональных данных
Сроки обработки и хранения персональных данных
Порядок уничтожения персональных данных

Общие положения

Положение об обработке персональных данных в Магаданском областном государственном автономном учреждении «Многофункциональный центр предоставления государственных и муниципальных услуг» (далее - Положение) определяет правила и цели обработки персональных данных, а также меры, направленные на осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Магаданском областном государственном автономном учреждении «Многофункциональный центр предоставления государственных и муниципальных услуг» (далее – МОГАУ «МФЦ» или Оператор) и его территориально обособленных структурных подразделениях.

Настоящее Положение определяет МОГАУ «МФЦ» как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

Мерой, направленной на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», является назначение ответственного за организацию обработки персональных данных.

В Положении используются следующие понятия:

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных – обязанность оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор – МОГАУ «МФЦ», самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными при предоставлении государственных и муниципальных услуг;

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Сотрудник – работник оператора, действия которого регламентируются трудовым договором и должностной инструкцией;

Заявитель – субъект персональных данных обратившийся в МОГАУ «МФЦ» с целью получения государственных и муниципальных услуг.

Правовое основание обработки персональных данных

Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Налоговый Кодекс Российской Федерации; Гражданский Кодекс Российской Федерации; Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и воинской службе»; Федеральный закон от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»; Федеральный закон от 27.07.2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»; Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством; Постановление Правительства от 22.12.2012 года № 1376 «Об утверждении правил организации деятельности многофункциональных центров предоставления государственных и муниципальных услуг»; Постановление Правительства от 22.09.2011 года № 797 «О взаимодействии между многофункциональными центрами предоставления государственных и муниципальных услуг и федеральными органами исполнительной власти, органами государственных внебюджетных фондов, органами государственной власти субъектов Российской Федерации, органами местного самоуправления»; Постановление Администрации Магаданской области от 21.02.2013 года № 130-па «Об организации предоставления государственных и муниципальных услуг по принципу „Одного окна“ в том числе в многофункциональных центрах, на территории магаданской области», Постановление Мэрии города Магадана от 12.12.2012 года № 5201 «Об утверждении перечня муниципальных услуг города Магадана, предоставляемых на базе Магаданского областного государственного автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг»; Закон Магаданской области от 29.11.2011 № 1439-ОЗ "О дополнительных мерах социальной поддержки по оплате проезда автомобильным транспортом общего пользования отдельных категорий граждан, проживающих на территории Магаданской области"; Постановление администрации Магаданской области от 26.01.2012 №21-па «О порядке предоставления дополнительных мер социальной поддержки по оплате проезда автомобильным транспортом общего пользования отдельных категорий граждан, проживающих на территории Магаданской области»; Договоры на выполнение работ, оказания услуг; Согласие на обработку персональных данных; Соглашения о взаимодействии при предоставлении государственных и муниципальных услуг.

Цель обработки персональных данных

Целями обработки персональных данных субъектов персональных данных является:

обеспечение предоставления государственных и муниципальных услуг посредством многофункциональных центров и сети Интернет на основе создания единой инфраструктуры обеспечения межведомственного автоматизированного информационного взаимодействия и взаимодействия органов, предоставляющих услуги, с организациями и гражданами;
выполнение функций бухгалтерского и налогового учета и оформление отчетности в учреждении, а также в целях обучения и должностного роста, учета результатов исполнения работниками должностных обязанностей, обеспечения им условий труда;
рассмотрение обращений физических лиц, обратившихся с заявлениями, обращениями, жалобами, в том числе с использованием функционала сайта МОГАУ «МФЦ».

В МОГАУ «МФЦ» ведется обработка персональных данных следующих категорий субъектов персональных данных:

сотрудников МОГАУ «МФЦ», в том числе уволенных, и членов их семей;
заявителей, обратившихся в МОГАУ «МФЦ» с целью получения государственных и муниципальных услуг и членов их семей;
физических лиц, являющихся кандидатами на работу;
физических лиц, состоящих с МОГАУ «МФЦ» в гражданско-правовых отношениях;
физических лиц, обратившихся с заявлениями, обращениями, жалобами;
физических лиц, обратившихся за приобретением месячных социальных проездных билетов на проезд в городском сообщении.

Условия и порядок обработки персональных данных сотрудников, в том числе уволенных, а также членов их семей

Оператор обрабатывает следующие категории персональных данных:

фамилия, имя, отчество;
паспортные данные (серия, номер, кем и когда выдан паспорт, причина смены, семейное положение, пол, гражданство, прописка);
дата рождения, место рождения;
контактные данные (адрес регистрации по месту жительства/пребывания, адрес фактического проживания, номер контактного телефона, e-mail);
сведения о трудовой деятельности (месяц и год поступления, месяц и год ухода, должность, наименование организации);
финансовая информация (тарифная ставка (оклад), персональная надбавка в %, в т.ч. региональная, данные о начислениях и удержаниях выплат, данные о премиях, материальной помощи и других дополнительных выплатах, тип и сумма налогового вычета, сведения о социальных льготах, номер лицевого счета( заработная плата за отчетный период);
реквизиты свидетельства государственной регистрации актов гражданского состояния;
сведения о воинском учете (отношение к воинской обязанности, воинское звание, категория запаса, полное кодовое название ВУС, категория годности к военной службе, наименование военного комиссариата по месту жительства);
данные о постановке на учет в налоговом органе (ИНН);
данные о постановке на учет в ПФРФ (СНИЛС);
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
данные о членах семьи сотрудника (ФИО, степень родства, дата рождения, иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
данные о доходах, предоставляемые в налоговый орган ( справки 2-НДФЛ, 3-НДФЛ, персонифицированные сведения о застрахованных лицах);
сведения о страховом стаже застрахованных лиц.

Обработка персональных данных сотрудника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Обработка персональных данных производится с использованием средств автоматизации, так и без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Все персональные данные сотрудника следует получать у него самого. Если персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение. Сотрудники и их представители должны быть ознакомлены под роспись с настоящим Положением.

Запрещается сообщать персональные данные сотрудника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами. Оператору необходимо предупредить лиц, получающих персональные данные сотрудника а, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные сотрудника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

Доступ к персональным данным сотрудников разрешен только уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Сотрудники, которые имеют доступ к персональным данным других сотрудников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. Трудовой договор может быть расторгнут оператором в случаях разглашения персональных данных другого работника.

Оператор должен оформить с сотрудниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других сотрудников, обязательство об их неразглашении.

В целях обеспечения защиты персональных данных, хранящихся у оператора, сотрудники имеют право на:

полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе оператора исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия.

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов.

Условия и порядок обработки персональных данных кандидатов для приема на работу

Оператор обрабатывает следующие категории персональных данных кандидатов для приема на работу

фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
контактные данные (адрес регистрации по месту жительства/пребывания, адрес фактического проживания, номер контактного телефона, e-mail);
сведения об образовании, опыте работы, квалификации;
иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

Обработка персональных данных кандидатов для приема на работу может осуществляться исключительно в целях обеспечения содействия в трудоустройстве в МОГАУ «МФЦ» при наличии письменного согласия на обработку персональных данных.

Обработка персональных данных производится без использования средств автоматизации.

Условия и порядок обработки персональных данных физических лиц, состоящих с МОГАУ «МФЦ» в гражданско-правовых отношениях

В соответствии с пунктами 5 и 7 части 1 статьи 6 Закона N 152-ФЗ согласие субъекта персональных данных на обработку персональных данных не требуется, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Оператор обрабатывает следующие категории персональных данных физических лиц, состоящих с МОГАУ «МФЦ» в гражданско-правовых отношениях:

фамилия, имя, отчество;
дата и место рождения;
паспортные данные;
контактные данные (адрес регистрации по месту жительства/пребывания, адрес фактического проживания, номер контактного телефона, e-mail);
замещаемая должность;
индивидуальный номер налогоплательщика;
номер расчетного счета;
иные персональные данные, предоставляемые контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных физических лиц, состоящих с МОГАУ «МФЦ» в гражданско-правовых отношениях.

Условия и порядок обработки персональных данных физических лиц, обратившихся с заявлениями, обращениями, жалобами, в том числе с использованием функционала сайта МОГАУ «МФЦ»

Оператор обрабатывает следующие категории персональных данных физических лиц, обратившихся с заявлениями, обращениями, жалобами:

фамилия, имя, отчество;
дата и место рождения;
паспортные данные;
контактные данные (адрес регистрации по месту жительства/пребывания, адрес фактического проживания, номер контактного телефона, e-mail);
иные персональные данные, предоставляемые физическими лицами, необходимые для ответа на заявления, обращения, жалобы

Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных физических лиц, обратившихся с заявлениями, обращениями, жалобами.

Условия и порядок обработки персональных данных физических лиц, обратившихся за приобретением месячных социальных проездных билетов на проезд в городском сообщении

Обработка персональных данных осуществляется исключительно с целью предоставления дополнительных мер социальной поддержки по оплате проезда автомобильным транспортом общего пользования отдельных категорий граждан, проживающих на территории Магаданской области.

Оператор обрабатывает следующие категории персональных данных физических лиц, обратившихся за приобретением месячных социальных проездных билетов на проезд в городском сообщении

фамилия, имя, отчество;
паспортные данные (серия, номер, кем и когда выдан паспорт);
дата рождения;
контактные данные (адрес регистрации по месту жительства/пребывания, адрес фактического проживания, номер контактного телефона, e-mail);
данные, подтверждающего, что заявитель относится к одной из категорий граждан, имеющих право на получение дополнительной меры социальной поддержки согласно пунктам 2 и 3 статьи 1 Закона Магаданской области от 29 ноября 2011 г. N 1439-ОЗ;
данные платежной карты, оформленной на имя заявителя (в случае получения дополнительной меры социальной поддержки в виде подключения услуги льготного проезда на платежной карте).

Условия и порядок обработки персональных данных заявителей и членов их семей

Обработка персональных данных осуществляется для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг. В данном случае оператор вправе обрабатывать персональные данные без согласия субъекта персональных данных.

Оператор обрабатывает следующие категории персональных данных заявителей и членов их семей:

фамилия, имя, отчество;
паспортные данные (серия, номер, кем и когда выдан паспорт, причина смены, семейное положение, пол, гражданство);
дата рождения, место рождения;
контактные данные (адрес регистрации по месту проживания, адрес фактического проживания, номер контактного телефона, e-mail);
сведения об образования (образование, наименование учебного заведения, год окончания)
сведения о трудовой деятельности (месяц и год поступления, месяц и год ухода, должность, наименование организации);
сведения о воинском учете (отношение к воинской обязанности, воинское звание, категория запаса, полное кодовое название ВУС, категория годности к военной службе, наименование военного комиссариата по месту жительства);
финансовая информация (тарифная ставка (оклад), персональная надбавка в %, в т.ч. региональная, данные о начислениях и удержаниях выплат, данные о премиях, материальной помощи и других дополнительных выплатах, тип и сумма налогового вычета, сведения о социальных льготах, номер лицевого счета, размер среднемесячной заработной платы (справка 2-НДФЛ, заработная плата за отчетный период);
данные о членах семьи заявителя (ФИО родственника, степень родства, дата рождения, место работы, должность, адрес места жительства, сведения о доходах);
данные о постановке на учет в налоговом органе (ИНН, дата постановке на налоговый учет);
данные о государственном пенсионном страховании (номер свидетельства ОПС);
данные о медицинском страховании (номер полиса ОМС/ДМС, срок действия полиса ОМС/ДМС, наименование страховой медицинской компании).

Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам, и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Трансграничная передача персональных данных оператором не осуществляется.

Оператор должен оформить с сотрудниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным субъектов персональных данных, обязательство об их неразглашении.

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных путем:

получения подлинников документов, необходимых для предоставления государственных услуг или исполнения государственных функций, в том числе заявления;
получения заверенных копий документов при необходимости;
внесения сведений в учетные формы (на бумажных и электронных носителях);
внесения персональных данных в информационные системы персональных данных.

Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных (заявителей), необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется в случаях и порядке, предусмотренных федеральными законами.

Перечень сотрудников МОГАУ «МФЦ», доступ которых к персональным данным необходим для выполнения служебных обязанностей, а также помещений, предназначенных для обработки персональных данных, утверждается локальными документами «МОГАУ «МФЦ».

Права субъектов персональных данных

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Перечень информационных систем персональных данных

Для достижения целей обработки персональных данных, в МОГАУ «МФЦ» функционируют следующие информационные системы персональных данных:

ИСПДн АИС «МФЦ»;
ИСПДн АИС МФЦ «Капелла»;
ИСПДн «1С Предприятие: Зарплата и кадры бюджетного учреждения»;
ИСПДн «1С Предприятие: Бухгалтерия государственного учреждения»;
ИСПДн «СЭД МФЦ».

Для ИСПДн «1С Предприятие», технологический процесс обработки информации в ИСПДн пользователями сводится к следующим действиям:

Пользователи ИСПДн – сотрудники МОГАУ МФЦ авторизуются в прикладном комплексе «1С: Предприятие»
Авторизованный пользователь осуществляет ввод информации в прикладной интерфейс программы, функционирующий в приложении на рабочем месте пользователя. При необходимости, информация может быть выгружена из программы в директорию компьютера, либо отправлена на печатающее устройство.
Пользователь заканчивает работу с ИСПДн.

Для ИСПДн АИС «МФЦ», технологический процесс обработки информации в ИСПДн пользователями сводится к следующим действиям:

Пользователи ИСПДн – сотрудники МОГАУ МФЦ авторизуются в прикладном комплексе АИС «МФЦ»;
Авторизованный пользователь осуществляет прием граждан. При этом производится ввод информации о гражданине в оконный интерфейс АИС «МФЦ», на рабочем месте пользователя. При необходимости производится сканирование документов заявителя, необходимых для предоставления ему услуги. Скан-копии документов прикрепляются в оконной форме интерфейса АИС «МФЦ» и передаются на сервер для последующей обработки и хранения;
Из прикладного интерфейса АИС «МФЦ» пользователем системы может быть выгружена информация, содержащая ПДн заявителя на печатающее устройство МОГАУ МФЦ;
Пользователь заканчивает работу с АИС «МФЦ».

Для ИСПДн АИС МФЦ «Капелла», технологический процесс обработки информации в ИСПДн пользователями сводится к следующим действиям:

Пользователи ИСПДн – сотрудники МОГАУ МФЦ авторизуются в прикладном комплексе АИС МФЦ «Капелла»;
Авторизованный пользователь осуществляет прием граждан. При этом производится ввод информации о гражданине в оконный интерфейс АИС МФЦ «Капелла», на рабочем месте пользователя. При необходимости производится сканирование документов заявителя, необходимых для предоставления ему услуги. Скан-копии документов прикрепляются в оконной форме интерфейса АИС МФЦ «Капелла» и передаются на сервер для последующей обработки и хранения;
Из прикладного интерфейса АИС МФЦ «Капелла» пользователем системы может быть выгружена информация, содержащая ПДн заявителя на печатающее устройство МОГАУ МФЦ;
Пользователь заканчивает работу с АИС МФЦ «Капелла».

Для ИСПДн «СЭД МФЦ», технологический процесс обработки информации в ИСПДн пользователями сводится к следующим действиям:

Пользователи ИСПДн – сотрудники МОГАУ МФЦ авторизуются в прикладном комплексе «СЭД МФЦ».
Авторизованный пользователь осуществляет ввод информации в прикладной интерфейс программы, путем прикрепления скан-копии документов или загрузки документов из директории компьютера.
При необходимости, информация может быть выгружена из программы в директорию компьютера, либо отправлена на печатающее устройство;
Пользователь заканчивает работу с ИСПДн.

Сотрудникам предоставляется данные идентификации в соответствующей информационной системе персональных данных. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными обязанностями работников.

Меры по обеспечению безопасности персональных данных

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Отдел по защите информации несет ответственность за организацию и обеспечение информационной безопасности в МОГАУ «МФЦ».

Сроки обработки и хранения персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Персональные данные, содержащиеся в приказах по личному составу (о приеме, о переводе, об увольнении, об установлении надбавок о поощрениях, о материальной помощи, сведения о заработной плате идр.), подлежат хранению в архиве в течение 50 лет.

Приказы учреждения о командировках, отпусках работника и документы к ним подлежат хранению в архиве в течение 5 лет.

Личные карточки работников подлежат хранению в архиве в течение 50 лет.

Трудовые книжки сотрудников подлежат хранению в архиве до востребования, не востребованные хранятся в течение 50 лет.

Трудовые договоры сотрудников подлежат хранению в архиве в течение 75 лет.

Обращения граждан (предложения, жалобы, заявления), документы (справки, сведения, переписка) по вопросам предоставления государственных и муниципальных услуг подлежат хранению в архиве в течение 5 лет.

Документы (копии сопроводительных писем, опись документов) предоставляемые в государственные органы, органы местного самоуправления, внебюджетные фонды по вопросу предоставления государственных и муниципальных услуг хранятся в течение срока, установленного в номенклатуре дел учреждения.

Документы (скан-образы документов, заявлений) физических и юридических лиц о предоставлении государственных и муниципальных услуг хранятся в ИСПДн в течение 3 лет.

Порядок уничтожения персональных данных

Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии, состав которой утверждается приказом директора.

По итогам заседания составляются протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел; дела проверяются на их комплектность, акт подписывается председателем и членами комиссии и утверждается директором.

Уничтожение документов, содержащих персональные данные, производится членами комиссии путем сжигания или аппаратного измельчения.

По окончании процедуры уничтожения, начальниками отделов составляется соответствующий акт об уничтожении документов, содержащих персональные данные, который подписывается членами комиссии.

Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или программным удалением необходимой информации принятыми для конкретного типа носителя методами.

Приложение 2
к приказу МОГАУ «МФЦ»
от «11» января 2023 г.№ 002

Политика обработки персональных данных в МОГАУ «МФЦ»

г. Магадан
2023 г.

Оглавление

Общие положения
Цели сбора персональных данных
Порядок и условия обработки персональных данных
Меры по обеспечению безопасности персональных данных
Заключительные положения

Общие положения

Настоящий документ определяет политику (далее – Политика) Магаданского областного государственного автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг» (далее – МОГАУ «МФЦ» или Оператор) в отношении обработки персональных данных и является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

Целью настоящей Политики является обеспечение защиты прав и свобод граждан при обработке их персональных данных Оператором.

В Политики используются следующие понятия:

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

Заявитель - субъект персональных данных обратившийся в МОГАУ МФЦ с целью получения государственных и муниципальных услуг.

Обработка персональных данных в МОГАУ «МФЦ» осуществляется на основе принципов:

законности и справедливости целей и способов обработки персональных данных;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
конфиденциальности персональных данных.

подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Цели сбора персональных данных

обеспечение предоставления государственных и муниципальных услуг посредством многофункциональных центров и сети Интернет на основе создания единой инфраструктуры обеспечения межведомственного автоматизированного информационного взаимодействия и взаимодействия органов, предоставляющих услуги, с организациями и гражданами;
выполнение функций бухгалтерского и налогового учета и оформление отчетности в учреждении, а также в целях обучения и должностного роста, учета результатов исполнения работниками должностных обязанностей, обеспечения им условий труда;
рассмотрение обращений физических лиц, обратившихся с заявлениями, обращениями, жалобами, в том числе с использованием функционала сайта МОГАУ «МФЦ».

Правовым основанием для выполнения Оператором функции обработки персональных данных являются:

Порядок и условия обработки персональных данных

Оператор, получивший доступ к персональным данным, обязуется не раскрывать третьим лицам, и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Трансграничная передача персональных данных оператором не осуществляется. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации реализуется с использованием баз данных, находящихся на территории Российской Федерации.

Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей и прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.

Личные карточки работников подлежат хранению в архиве в течение 50 лет.

Заявления граждан на внесение изменений в персональные данные, в связи с подачей заявлений на оказание государственных и муниципальных услуг подлежат хранению в архиве в течение 1 года.

Меры по обеспечению безопасности персональных данных

При обработке персональных данных Оператор принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерных действий по отношению к ним, путем применения, в том числе следующих мер, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:

назначен сотрудник, ответственный за организацию обработки персональных данных;
разработаны частные модели угроз и нарушителя безопасности персональных данных;
применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности ИСПДн;
сотрудники Оператора, непосредственно осуществляющих обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных;
ведется машинных носителей персональных данных;
установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в ИСПДн;
осуществляется контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Заключительные положения

Оператор публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике, которая содержит сведения о реализуемых требованиях к защите персональных данных, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет" по адресу https://mydoc49.ru/confidentiality/ , а также обеспечивает возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не чаще одного раза в три года.

Контроль исполнения требований настоящей Политики осуществляется сотрудником, ответственным за обеспечение безопасности персональных данных.

Ответственность сотрудников Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.