Обработка персональных данных клиентов

ПОЛОЖЕНИЕ

о защите персональных данных участников клубных формирований муниципального бюджетного учреждения «Центр русской народной культуры «Лад» г. Шадринска

Общие положения

1.1. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ № 197-ФЗ от 30.12.2001 г., Федеральным законом РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г., Федеральным законом РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г., Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. и другими нормативными правовыми актами.

1.2. Настоящее Положение определяет порядок обработки персональных данных участников клубных формирований, досуговых объединений и иных посетителей (далее – клиенты) МБУ «Центр русской народной культуры «Лад» (далее – учреждение) и гарантии конфиденциальности сведений, предоставляемых ими и их родителями (законными представителями).

1.3. Персональные данные клиентов являются конфиденциальной информацией.

Понятие и состав персональных данных клиента

2.1. Персональные данные клиентов – это информация, необходимая учреждению для осуществления досуговой и культурно-просветительской деятельности в соответствии с законодательством Российской Федерации.

2.2. К персональным данным клиента относятся:

а) фамилия, имя, отчество;

б) год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности;

в) данные медицинского характера, в случаях, предусмотренных законодательством;

г) данные о членах семьи обучающегося;

д) данные о месте жительства, почтовый адрес, телефон обучающегося, а также членов его семьи;

е) имущественное положение;

ж) место работы/учебы, специальность.

Обработка персональных данных клиентов

3.1. Обработка персональных данных клиентов – это получение, хранение, комбинирование, передача или любое другое использование персональных данных клиентов. Обработка персональных данных осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов в ходе досуговой и культурно-просветительской деятельности, обеспечения личной безопасности клиентов, контроля качества культурно-досуговых услуг и обеспечения сохранности имущества, пользования льготами, предусмотренными законодательством РФ и актами учреждения.

3.2. Руководство школы не имеет права получать и обрабатывать персональные данные клиента о его политических, религиозных и иных убеждениях и частной жизни.

3.3. Клиенты и их родители (законные представители) обязаны предоставлять учреждению достоверные сведения и своевременно сообщать об изменении персональных данных. Учреждение имеет право проверять достоверность сведений, предоставленных клиентами и их родителями (законными представителями).

3.4. В случаях, когда учреждение может получить необходимые персональные данные клиента только у третьего лица, оно должно уведомить об этом клиентов и их родителей (законных представителей) и получить от них письменное согласие по установленной форме.

Учреждение обязано сообщить клиентами и их родителям (законным представителям) о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа клиентов и их родителей (законных представителей) дать письменное согласие на их получение.

3.5. Персональные данные клиента (в т.ч. личные дела, журналы) хранятся в бумажном виде в кабинете специалистов в запираемом шкафу.

3.6. Доступ к персональным данным клиента имеют сотрудники, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Сотрудники учреждения, имеющие доступ к персональным данным клиента, имеют право получать только те персональные данные клиента, которые необходимы им для выполнения конкретных трудовых функций. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных клиента, определяются должностными инструкциями. Сотрудник, имеющий доступ к персональным данным клиента в связи с исполнением трудовых обязанностей, обеспечивает хранение информации, содержащей персональные данные клиента, исключающее доступ к ним третьих лиц.

При увольнении сотрудника, имеющего доступ к персональным данным клиента, документы и иные носители, содержащие персональные данные клиента, передаются другому сотруднику, имеющему доступ к персональным данным клиента в соответствии с приказом директора учреждения.

3.7. Процедура оформления доступа к персональным данным клиента включает в себя:

а) письменное согласие клиентов или их родителей (законных представителей) об обработке персональных данных;

б) письменное обязательство сотрудника (за исключением директора) о соблюдении конфиденциальности персональных данных клиента и соблюдении правил их обработки, подготовленного по установленной форме.

3.8. Доступ к персональным данным клиента без специального разрешения имеют сотрудники, занимающие в учреждении следующие должности:

а) директор;

б) заместители директора;

в) делопроизводитель.

Допуск к персональным данным клиента других сотрудников, не имеющих надлежащим образом оформленного доступа, запрещается.

3.9. В случае если учреждению оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к персональным данным клиентов, то соответствующие данные предоставляются учреждением только после подписания с ним соглашения о неразглашении конфиденциальной информации.

В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных клиента.

3.10. Учреждение вправе передавать персональные данные клиента в бухгалтерию и иные структурные подразделения в случае необходимости для исполнения сотрудниками своих трудовых обязанностей.

При передаче персональных данных клиента, сотрудники предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное обязательство в соответствии с п. 3.8 настоящего Положения.

3.11. Передача (обмен и т.д.) персональных данных осуществляется только между сотрудниками, имеющими доступ к персональным данным клиента.

3.12. Передача персональных данных клиента третьим лицам осуществляется только с письменного согласия клиента или его родителей (законных представителей), которое оформляется по установленной форме и должно включать в себя:

а) фамилию, имя, отчество, адрес клиента или его родителей (законных представителей), номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

б) наименование и адрес организации, получающей согласие клиента;

в) цель передачи персональных данных;

г) перечень персональных данных, на передачу которых дает согласие клиент или его родитель (законный представитель);

д) срок, в течение которого действует согласие, а также порядок его отзыва.

3.13. Не допускается передача персональных данных клиента в коммерческих целях без письменного согласия его или его родителей (законных представителей), оформленного по установленной форме.

3.14. Сотрудники учреждения, передающие персональные данные клиента третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (или иных материальных носителей), содержащих персональные данные клиента. Акт должен содержать:

а) уведомление лица, получающего данные документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;

б) предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.

3.15. Передача документов (иных материальных носителей), содержащих персональные данные клиента осуществляется при наличии у лица, уполномоченного на их получение:

а) договора на оказание услуг учреждению;

б) соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных клиента;

в) письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные клиента, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.

Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных клиента несет сотрудник учреждения, осуществляющий передачу персональных данных клиента третьим лицам.

а) Представителю клиента (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии нотариально удостоверенной доверенности представителя клиента;

3.16. Предоставление персональных данных клиента государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.17. Документы, содержащие персональные данные клиента, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.