Размер:
Цвет:

Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных

1. Общие положения

1.1. Политика в отношении обработки персональных данных в Службе контроля Ханты-Мансийского автономного округа – Югры (далее – Политика, Служба, автономный округ соответственно) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологий и о защите информации», Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и другими нормативными правовыми актами, регулирующими отношения, связанные с обработкой персональных данных.

1.2. Политика определяет порядок и условия обработки персональных данных в Службе с использованием средств автоматизации и без использования таких средств.

1.3. Политика вступает в силу с даты утверждения приказом Службы.

1.4. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Службы, а также в случаях изменения законодательства Российской Федерации в области обеспечения безопасности персональных данных (далее – ПДн).

1.5. Основные понятия, используемые в Политике, соответствуют основным понятиям, указанным в статье 3 Федерального закона Российской Федерации от 27 июля 2006 года № 152 «О персональных данных».

1.6. Политика подлежит опубликованию на официальном сайте Службы в течение 10 дней после ее утверждения.

2. Цели и правовые основания обработки персональных данных

2.1. Обработка ПДн осуществляется в следующих целях:

выполнения требований законодательства о государственной гражданской службе Российской Федерации и автономного округа в части ведения воинского учета и бронирования, размещения на общедоступных источниках персональных данных; рассмотрения обращений граждан, производства по делам об административных правонарушениях

2.2. Правовые основания обработки ПДн:

Кодекс Российской Федерации об административных правонарушениях (Федеральный закон Российской Федерации от 30 декабря 2001 года № 195-ФЗ);

Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);

Федеральный закон Российской Федерации от 28 марта 1998 года № 53-ФЗ «О воинской обязанности и военной службе»; Федеральный закон Российской Федерации от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее – Закон № 59-ФЗ);

постановление Правительства Российской Федерации от 27 ноября 2006 года № 719 «Об утверждении Положения о воинском учете»;

согласие субъекта персональных данных на обработку его персональных данных.

3. Категории субъектов, персональные данные

которых обрабатываются

3.1. В соответствии с целями обработки ПДн, указанными в пункте 2 Политики, Службой осуществляется обработка следующих категорий субъектов ПДн:

государственные гражданские служащие;

должностные лица объектов контроля, привлеченные к административной ответственности при осуществлении Службой внутреннего государственного финансового контроля и контроля в сфере закупок;

граждане, обратившиеся непосредственно в Службу, а также граждане, чьи обращения поступили в Службу в соответствии с его компетенцией из других государственных органов, органов местного самоуправления и от иных должностных лиц в порядке, предусмотренном Законом № 59-ФЗ.

3.2. Перечень обрабатываемых ПДн утвержден в приложении 9 к приказу Службы.

4. Принципы обработки персональных данных

4.1. Обработка ПДн осуществляется на законной основе.

4.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

4.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обработке подлежат только те ПДн, которые отвечают целям их обработки.

4.5. Содержание и объем ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточным по отношению к заявленным целям их обработки.

4.6. При обработке ПДн обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Службой обеспечивается принятие необходимых мер по удалению или уточнению неполных или неточных данных.

4.7. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Условия обработки персональных данных

5.1. Условия обработки иных категорий ПДн:

5.1.1. Обработка иных категорий ПДн осуществляется Службой с соблюдением следующих условий:

обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Службу функций, полномочий и обязанностей;

обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

5.2. Условия обработки общедоступных категорий ПДн:

5.2.1. Осуществляется обработка ПДн, сделанных общедоступными с согласия субъекта ПДн.

5.3. Поручение обработки ПДн:

5.3.1. Служба вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

5.3.2. Лицо, осуществляющее обработку ПДн по договору с Службой, соблюдает принципы и правила обработки ПДн, предусмотренные Политикой. В договоре с Службой определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указаны требования к защите обрабатываемых ПДн.

5.3.3. В случае, если Служба поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Служба. Лицо, осуществляющее обработку ПДн по поручению Службы, несет ответственность перед Службой.

6. Конфиденциальность персональных данных

Сотрудники Службы, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством.

7. Общедоступные источники персональных данных

7.1. В целях информационного обеспечения Служба размещает ПДн на общедоступных источниках ПДн. Сведения о субъекте ПДн исключаются из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

7.2. В общедоступные источники ПДн включены следующие сведения:

фамилия, имя, отчество;

фотография;

номер рабочего телефона;

адрес рабочей электронной почты;

номер кабинета;

сведения о занимаемой должности.

8. Согласие субъекта персональных данных

на обработку его персональных данных

8.1. При необходимости обеспечения условий обработки ПДн субъекта может предоставляться согласие субъекта ПДн на обработку его ПДн.

8.2. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Службой.

8.3. Согласие на обработку ПДн может быть отозвано субъектом ПДн.

8.4. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн возлагается на Службу.

8.5. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности:

фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта ПДн);

наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

цель обработки ПДн;

перечень ПДн, на обработку которых дается согласие субъекта ПДн;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

подпись субъекта ПДн.

9. Право субъекта персональных данных на доступ

к его персональным данным

9.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

подтверждение факта обработки ПДн Службой;

правовые основания и цели обработки ПДн;

цели и применяемые Службой способы обработки ПДн;

наименование и место нахождения Службы, сведения о лицах (за исключением сотрудников Службы), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Службой или на основании федерального закона;

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

сроки обработки ПДн, в том числе сроки их хранения;

порядок осуществления субъектом ПДн прав, предусмотренных Законом № 152-ФЗ;

информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Службы, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

9.2. Субъект ПДн имеет право на получение запрашиваемой субъектом информации, за исключением случаев, при которых доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц, а также случаев, установленных Законом № 152-ФЗ.

Субъект ПДн вправе требовать от Службы уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3. Сведения, указанные в пункте 9.1 Политики, должны быть предоставлены субъекту ПДн Службой в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

9.4. Сведения, указанные в пункте 9.1 Политики, предоставляются субъекту ПДн или его представителю Службой при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Службой (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Службой, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.5. В случае, если сведения, указанные в пункте 9.1 Политики, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Службе или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1 Политики, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

9.6. Субъект ПДн вправе обратиться повторно в Службу или направить ему запрос в целях получения сведений, указанных в пункте 9.1 Политики, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в пункте 9.5 Политики, в случае, если такие сведения и (или) обрабатываемы ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать основание направления повторного запроса.

9.7. Служба вправе отказать субъекту ПДн в выполнении повторного запроса, несоответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса возлагается на Службу.

10. Право на обжалование действий или

бездействий Службы

10.1. Если субъект ПДн считает, что Служба осуществляет обработку его ПДн с нарушением требований Закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействия Службы в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке.

10.2. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

11. Обязанности Службы

11.1. При сборе ПДн Служба обязана предоставить субъекту ПДн по его просьбе информацию, предусмотренную пункте 9.1 Политики.

11.2. Если предоставление ПДн является обязательным в соответствии с федеральным законом, Служба обязана разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.

11.3. Если ПДн получены не от субъекта ПДн, Служба, за исключением случаев, предусмотренных пункте 9.2 Политики, до начала обработки таких персональных данных обязана предоставить субъекту ПДн следующую информацию:

11.3.1. Наименование и адрес учреждения или его представителя.

11.3.2. Цель обработки ПДн и ее правовое основание.

11.3.3. Предполагаемые пользователи ПДн.

11.3.4. Установленные Законом № 152-ФЗ права субъекта ПДн.

11.3.5. Источник получения ПДн.

11.4. Служба освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные пункте 9.1 Политики, в случаях, если:

11.4.1. Субъект ПДн уведомлен об осуществлении обработки его ПДн Службой.

11.4.2. ПДн получены Службой на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн.

11.4.3. ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника.

11.4.4. Предоставление субъекту ПДн сведений, предусмотренных пункте 9.1 Политики, нарушает права и законные интересы третьих лиц.

12. Меры, направленные на обеспечение выполнения Службой обязанностей, предусмотренных Законом № 152-ФЗ

12.1. Назначен ответственный за организацию обработки ПДн.

12.2. Изданы документы, определяющие политику Службы в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

12.3. Применяются правовые, организационные и технические меры по обеспечению безопасности ПДн.

12.4. Утверждены правила проведения внутреннего контроля соответствия обработки ПДн требованиям Закона № 152-ФЗ и принятых в соответствии с ними нормативных правовых актов, Политики, локальных актов.

12.5. Проведено ознакомление служащих, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с документами, определяющими политику Службы в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.

13. Меры по обеспечению безопасности персональных данных

при их обработке


13.1. Определены угрозы безопасности ПДн при их обработке в ИСПДн.

13.2. Применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн.

13.3. Применяются прошедшие в установленном порядке процедуры оценки соответствия средства защиты информации.

13.4. Выполняются меры по обнаружению фактов несанкционированного доступа к ПДн и принятию соответствующих мер.

13.5. Определен комплекс мер по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

13.6. Установлены правила доступа к ПДн, обрабатываемым в ИСПДн, обеспечена регистрация и учет всех действий, совершаемых с ПДн в ИСПДн.

13.7. При передаче (подготовке к передаче) ПДн по каналам связи, имеющим выход за пределы контролируемой зоны, защита от раскрытия, модификации или навязывания (ввода ложной информации) осуществляется путем применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации.

13.8. Для исключения несанкционированного просмотра ПДн на устройствах вывода (отображения, печати) информации, как из-за пределов контролируемой зоны, так и в пределах контролируемой зоны, их не размещают напротив оконных проемов, входных дверей, в коридорах, холлах и иных местах, доступных для несанкционированного просмотра.

13.9. Осуществляется непрерывный контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн.