1. Общие положения 1.1. Настоящая Политика об обработке персональных данных (далее – Политика): - является основополагающим внутренним документом Муниципального бюджетного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг» Куйбышевского района (далее – МБУ "МФЦ" Куйбышевского района), регулирующим вопросы обработки персональных данных (далее ПДн); - разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты ПДн сотрудников, заявителей, обратившихся за получением услуг; - раскрывает основные категории персональных данных, обрабатываемых МБУ "МФЦ" Куйбышевского района, цели, способы и принципы обработки, права и обязанности МБУ "МФЦ" Куйбышевского района при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых МБУ "МФЦ" Куйбышевского района в целях обеспечения безопасности персональных данных при их обработке; - предназначена для сотрудников МБУ "МФЦ" Куйбышевского района, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности МБУ "МФЦ" Куйбышевского района при обработке персональных данных. 2. Источники нормативного правового регулирования вопросов обработки персональных данных 2.1 Политика МБУ "МФЦ" Куйбышевского района в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ: - Федеральный закон от 27.07.2006 № 152 ФЗ «О персональных данных»; - Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; - Постановление Правительства Российской Федерации от 15.09.2008 №_687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; - Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; - Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»; - Конституция Российской Федерации; - Трудовой кодекс Российской Федерации; - Гражданский кодекс Российской Федерации; - Налоговый кодекс Российской Федерации; - Уголовный кодекс Российской Федерации; - нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора. 2.2 Во исполнение настоящей Политики в МБУ МФЦ Куйбышевского района приказами утверждаются следующие локальные нормативные правовые акты: - «Инструкция ответственному за защиту информации на объектах информатизации МБУ "МФЦ" Куйбышевского района; - «Инструкция администратору безопасности информации на объектах информатизации МБУ МФЦ Куйбышевского района; - «Инструкция пользователю объектами информатизации МБУ "МФЦ" Куйбышевского района; - «Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированных систем МБУ "МФЦ" Куйбышевского района; - «Инструкция по организации парольной защиты в автоматизированных информационных системах МБУ "МФЦ" Куйбышевского района; - «Инструкция по организации антивирусной защиты в автоматизированных информационных системах МБУ "МФЦ" Куйбышевского района - «Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств в автоматизированных информационных системах МБУ "МФЦ" Куйбышевского района; - «Инструкция по действиям персонала в нештатных ситуациях на объектах информатизации МБУ "МФЦ" Куйбышевского района; - «Положение по организации работ с персональными данными в МБУ "МФЦ" Куйбышевского района; - «Положение по организации проведению работ по обеспечению безопасности персональных данных при их обработке в МБУ "МФЦ" Куйбышевского района; - Акты классификации автоматизированных информационных систем МБУ "МФЦ" Куйбышевского района; - Модель угроз и нарушителя безопасности персональных данных информационных систем персональных данных МБУ "МФЦ" Куйбышевского района; - иные локальные документы МБУ "МФЦ" Куйбышевского района, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных. 3. Основные термины и понятия, используемые в локальных документах МБУ "МФЦ" Куйбышевского района, принимаемых по вопросу обработки персональных данных - Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; - обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; - распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; - использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц; - блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи; - уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных; - обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; - информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; - конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания; - трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства; - общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. 4. Общие условия обработки персональных данных 4.1 Обработка ПДн в МБУ "МФЦ" Куйбышевского района осуществляется на основе следующих принципов: 4.1.1 законности и справедливости обработки ПДн; 4.1.2 законности целей и способов обработки ПДн и добросовестности; 4.1.3 соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям МБУ "МФЦ" Куйбышевского района; 4.1.4 соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн; 4.1.5 достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн; 4.1.6 недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой; 4.1.7 хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки; 4.1.8 обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом; 4.1.9 субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи МБУ "МФЦ" Куйбышевского района своих ПДн; 4.1.10 держателем ПДн является МБУ "МФЦ" Куйбышевского района, которому субъект ПДн передает во владение свои ПДн. МБУ "МФЦ" Куйбышевского района выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством; 4.1.11 комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности МБУ "МФЦ" Куйбышевского района; 4.1.12 МБУ "МФЦ" Куйбышевского района при обработке ПДн обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн; 4.1.13 мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами МБУ "МФЦ" Куйбышевского района. 4.2 Для защиты ПДн в МБУ "МФЦ" Куйбышевского района применяются следующие принципы и правила: 4.2.1 ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн; 4.2.2 строгое избирательное и обоснованное распределение документов и информации между сотрудниками; 4.2.3 рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации; 4.2.4 знание сотрудниками требований нормативно-методических документов по защите ПДн; 4.2.5 распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн; 4.2.6 установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных; 4.2.7 определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 4.2.8 исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника; 4.2.9 организация порядка уничтожения персональных данных; 4.2.10 своевременное выявление нарушений требований разрешительной системы доступа; 4.2.11 воспитательная и разъяснительная работа с сотрудниками отделов по предупреждению утраты ценных сведений при работе с конфиденциальными документами; 4.2.12 регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн; 4.2.13 ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн; 4.2.14 создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией; 4.2.15 резервирование защищаемых данных (создание резервных копий). 4.3 Цели обработки персональных данных: 4.3.1 Предоставление государственных и муниципальных услуг, а также услуг по неосновным видам деятельности. 4.4 Правовое основание обработки персональных данных: 4.4.1 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; 4.4.2 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 4.4.3 Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; 4.4.4 Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 4.4.5 Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»; 4.4.6 Конституция Российской Федерации; 4.4.7 Трудовой кодекс Российской Федерации; 4.4.8 Гражданский кодекс Российской Федерации; 4.4.9 Налоговый кодекс Российской Федерации; 4.4.10 Уголовный кодекс Российской Федерации.