Правила обработки персональных данных граждан в МУП «Ухтаводоканал»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила устанавливают порядок получения, учета, обработки, накопления и хранения документов, содержащих персональные данные, обработка которых необходима для целей, определенных законодательством Российской Федерации.
1.2. Цель настоящих Правил - защита персональных данных граждан от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящих Правил являются Конституция Российской Федерации, Федеральный закон «О персональных данных» №152-ФЗ от 27 июля 2006 года и другие действующие нормативно-правовые акты Российской Федерации.
1.4. Настоящее Правила и изменения к ним утверждаются директором МУП «Ухтаводоканал», вступают в силу с момента их утверждения и действуют бессрочно, до замены их новыми Правилами. Все изменения в Правила вносятся приказом директора МУП «Ухтаводоканал». Все сотрудники, допущенные к обработке персональных данных, должны быть ознакомлены под роспись с данными Правилами и изменениями к ним.
1.5. В настоящих Правилах используются следующие термины и определения:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.6. Настоящие Правила и изменения к ним подлежат опубликованию на официальном сайте в течение 10 дней после их утверждения.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных допускается в случаях, установленных Федеральным законом «О персональных данных» №152-ФЗ от 27 июля 2006 года.
2.2. В соответствии с Федеральным законом «О персональных данных» №152-ФЗ от 27 июля 2006 года, статья 6, ч.1, п. 4, а также Федеральным законом «Об организации предоставления государственных и муниципальных услуг» №210-ФЗ от 27 июля 2010 года, статья 7, ч.4 не требуется получение согласия заявителя как субъекта персональных данных. Во всех остальные случаях, в соответствии с Федеральным законом «О персональных данных» №152-ФЗ от 27 июля 2006 года, необходимо получение согласия заявителя как субъекта персональных данных (приложение № 2).
2.3. Перечень персональных данных, обрабатываемых в МУП «Ухтаводоканал», утверждается директором МУП «Ухтаводоканал».
2.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.6. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона №152-ФЗ от 26.07.2006 года «О персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ от 27 июля 2006 года «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством Российской Федерации.
3.2. Сведения, указанные в пункте 3.1. настоящих Правил, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
3.3. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.4. Сведения, указанные в 3.1. настоящих Правил, предоставляются субъекту персональных данных или его представителю оператором при обращении, либо при получении письменного запроса субъекта персональных данных или его представителя. Порядок рассмотрения запросов субъектов персональных данных устанавливается «Правилами рассмотрения запросов субъектов персональных данных или их представителей», разработанных в МУП «Ухтаводоканал» на основании требований Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и иных нормативно-правовых актов.
4. СРОКИ ОБРАБОТКИ И ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральными законами, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.2. Персональные данные подлежат уничтожению, в течение тридцати дней, по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не установлено действующим законодательством.
4.3. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 4.2. настоящих Правил, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
4.4. Уничтожение бумажных носителей должно осуществляться сотрудниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами. Уничтожение информации на автоматизированных рабочих местах должно осуществляется комиссией способами, не позволяющими осуществить восстановление данных.
4.5. При уничтожении данных составляется, в обязательном порядке, акт с указанием, какие именно документы и файлы были уничтожены.
4.6. Решение об уничтожении принимается директором МУП «Ухтаводоканал» на основании ходатайства ответственного за обеспечение безопасности персональных данных.
5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Доступ к персональным данным имеют лица, согласно «Списку лиц, допущенных к обработке персональных данных в информационных системах персональных данных МУП «Ухтаводоканал»» и «Списку лиц, допущенных к обработке персональных данных без средств автоматизации в МУП «Ухтаводоканал»».
5.2. Сотрудники МУП «Ухтаводоканал», допущенные к обработке персональных данных, имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
5.3. Все лица, допущенные к работе с персональными данными, подписывают обязательство о неразглашении персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В целях обеспечения сохранности и конфиденциальности персональных данных все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
6.2. Оператор назначает из числа сотрудников ответственного за организацию обработки персональных данных, в обязанности которого, в частности, входит:
- осуществление внутреннего контроля за соблюдением оператором и его сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доведение до сведения сотрудников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.
6.3. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений о гражданах.
6.4. Передача информации, содержащей сведения о персональных данных граждан, по телефону, факсу, электронной почте без письменного согласия гражданина запрещается.
6.5. Личные дела и документы, содержащие персональные данные граждан, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
6.6. Средства вычислительной техники (автоматизированные системы), используемые для обработки персональных данных должны быть защищены в соответствии с действующими нормативно-правовыми актами Российской Федерации.
7. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ГРАЖДАНИНА
7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных граждан, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.