Политика конфиденциальности

1. Общие положения
1.1. Настоящее Положение регламентирует деятельность государственного
учреждения Тульской области «Комплексный центр социального
обслуживания населения №2» (далее – Учреждение) по организации обработки
персональных данных (далее — Положение).
1.2. Положение определяет цели, принципы обработки и реализуемые
требования к защите персональных данных в Учреждении.
1.3. Сведения о персональных данных относятся к числу конфиденциальных и
составляют охраняемую законом тайну.
1.4. В своей деятельности Учреждение по осуществлению политики в
отношении обработки персональных данных руководствуется Конституцией
Российской Федерации, законами, указами и распоряжениями Правительства
Российской Федерации, Федеральными законами, законами Тульской области,
Указами Президента РФ, постановлениями Правительства РФ, нормативными
правовыми актами Губернатора Тульской области, Правительства Тульской
области, министерства труда и социальной защиты населения Тульской
области, приказами Комплексного центра, Уставом Комплексного центра,
настоящим Положением

2.1. В настоящем Положении используются следующие основные понятия:
2.1.1. персональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных);
- персональные данные, разрешенные субъектом персональных данных для
распространения, - персональные данные, доступ неограниченного круга лиц к
которым предоставлен субъектом персональных данных путем дачи согласия на
обработку персональных данных, разрешенных субъектом персональных
данных для распространения в порядке, предусмотренном настоящим
Федеральным законом.

2.1.2. оператор - государственный орган, муниципальный орган, юридическое
или физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных данных, а
также определяющие цели обработки персональных данных, состав
персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными;
2.1.3. обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных;
2.1.4. автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники;
2.1.5. распространение персональных данных - действия, направленные на
раскрытие персональных данных неопределенному кругу лиц;
2.1.6. предоставление персональных данных - действия, направленные на
раскрытие персональных данных определенному лицу или определенному
кругу лиц;
2.1.7. блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима
для уточнения персональных данных);
2.1.8. уничтожение персональных данных - действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных;
2.1.9. обезличивание персональных данных - действия, в результате которых
становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту
персональных данных;
2.1.10. информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств;
2.1.11. трансграничная передача персональных данных - передача
персональных данных на территорию иностранного государства органу власти
иностранного государства, иностранному физическому лицу или иностранному
юридическому лицу.
2.1.12. конфиденциальность персональных данных — обязанность оператора и
иных лиц, получивших доступ к персональным данным, не раскрывать третьим
лицам и не распространять персональные данные без согласия субъекта
персональных данных, если иное не предусмотрено действующим
законодательством.

3.1. Целью политики в отношении обработки персональных данных Учреждения
является обеспечение защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личную и семейную тайну:
3.1.1. обработка персональных данных гражданских служащих, сотрудников
учреждения осуществляется в целях обеспечения соблюдения п.п. 1.4., 1.5.
настоящего Положения, содействия им в обучении и должностном росте,
обеспечения сохранности принадлежащего им имущества и имущества
государственного органа, учета результатов исполнения ими должностных
обязанностей;
3.1.2. обработка персональных данных граждан, обратившихся в Учреждение
с заявлениями по направлениям деятельности подразделений Учреждения,
обращений, осуществляется с целью защиты прав граждан, предоставленных им
законодательством Российской Федерации.
3.2. Учреждение в своей деятельности по обработке персональных данных
руководствуется следующими принципами:
3.2.1. обработка персональных данных должна осуществляться на законной и
справедливой основе;
3.2.2. обработка персональных данных должна ограничиваться достижением
конкретных, заранее определенных и законных целей. Не допускается
обработка персональных данных, несовместимая с целями сбора персональных
данных;
3.2.3. не допускается объединение баз данных, содержащих персональные
данные, обработка которых осуществляется в целях, несовместимых между
собой;
3.2.4. обработке подлежат только персональные данные, которые отвечают
целям их обработки;
3.2.5. содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям обработки. Обрабатываемые персональные
данные не должны быть избыточными по отношению к заявленным целям их
обработке;
3.2.6. при обработке персональных данных должны быть обеспечены точность
персональных данных, их достаточность, а в необходимых случаях и
актуальность по отношению к целям обработки персональных данных.
Оператор должен принимать необходимые меры либо обеспечивать их
принятие по удалению или уточнению неполных или неточных данных;
3.2.7. хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем этого
требуют цели обработки персональных данных, если срок хранения
персональных данных не установлен федеральным законом, договором,
стороной которого, выгодоприобретателем или поручителем по которому
является субъект персональных данных. Обрабатываемые персональные
данные подлежат уничтожению либо обезличиванию по достижении целей
обработки или в случае утраты необходимости в достижении этих целей, если
иное не предусмотрено федеральным законом.

4.1. Учреждение при обработке персональных данных принимает все
необходимые правовые, организационные и технические меры для их защиты от
неправомерного или случайного доступа, уничтожения, изменения,
блокирования, копирования, предоставления, распространения, а также иных
неправомерных действий в отношении них.
4.2. Обеспечение безопасности персональных данных достигается, в частности,
следующими способами:
4.2.1. определением угроз безопасности персональных данных при их обработке
в информационных системах персональных данных;
4.2.2. применением организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных, необходимых для выполнения требований к
защите персональных данных, исполнение которых обеспечивает
установленные Правительством Российской Федерации уровни защищенности
персональных данных;
4.2.3. применением прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
4.2.4. оценкой эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы
персональных данных;
4.2.5. учетом машинных носителей персональных данных;
4.2.6. обнаружением фактов несанкционированного доступа к персональным
данным и принятием мер, в том числе мер по обнаружению, предупреждению и
ликвидации последствий компьютерных атак на информационные системы
персональных данных и по реагированию на компьютерные инциденты в них;
4.2.7. восстановлением персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;
4.2.8. установлением правил доступа к персональным данным, обрабатываемым
в информационной системе персональных данных, а также обеспечением
регистрации и учета всех действий, совершаемых с персональными данными в
информационной системе персональных данных;
4.2.9. контролем за принимаемыми мерами по обеспечению безопасности
персональных данных и уровня защищенности информационных систем
персональных данных.
4.3. Директор Учреждения утверждает локальные акты по вопросам обработки
персональных данных, а также локальные акты, устанавливающие процедуры,
направленные на предотвращение и выявление нарушений действующего
законодательства, устранение последствий таких нарушений.
4.4. Работники Учреждения, непосредственно осуществляющие обработку
персональных данных, с требованиями действующего законодательства о
персональных данных, в том числе требований к защите персональных данных,
локальными актами в отношении обработки персональных данных, приступают
к выполнению своих обязанностей после ознакомления с вышеуказанными
требованиями и обязательного обучения указанных сотрудников.
4.5. Сотрудники Учреждения, виновные в нарушении порядка обращения с
персональными данными, несут дисциплинарную, административную,
гражданско-правовую или уголовную ответственность в соответствии с
законодательством Российской Федерации

5.1. Настоящее Положение утверждается директором Учреждения.
5.2. Настоящее Положение вступает в силу с момента его утверждения.
5.3. В настоящее Положение могут быть внесены изменения, путем издания соот-
ветствующего приказа, подписанного директором Комплексного центра.
5.4. Положение обязательно для соблюдения и подлежит доведению до всех со-
трудников Учреждения.