Приложение. Политика обработки персональных данных в Государственном комитете Республики Башкортостан по конкурентной политике. Приказ Государственного комитета Республики Башкортостан по конкурентной политике от 10.03.2021 N 31 "Об утверждении Политики обработки персональных данных в Государственном комитете Республики Башкортостан по конкурентной политике" (с изменениями и дополнениями)

Приложение

к приказу

Государственного комитета

Республики Башкортостан

по конкурентной политике

от 10 марта 2021 г. N 31

Политика
обработки персональных данных в Государственном комитете Республики Башкортостан по конкурентной политике

I. Общие положения

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Государственном комитете Республики Башкортостан по конкурентной политике (далее соответственно - Госкомитет, Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика обработки персональных данных Оператора (далее - Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.3. Основные понятия, используемые в настоящей Политике:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

II. Обрабатываемые персональные данные

2.1. Обработка персональных данных субъектов персональных данных осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренных законодательством Российской Федерации, а также осуществления основной деятельности Госкомитета.

2.2. Сведениями, составляющими персональные данные, в Госкомитете является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

2.3. Перечень персональных данных, обрабатываемых в Госкомитете, утвержден приказом Государственного комитета Республики Башкортостан по конкурентной политике от 6 июля 2020 года N 138 "Об утверждении документов, направленных на работу по обеспечению безопасности персональных данных в Государственном комитете Республики Башкортостан по конкурентной политике".

2.4. При определении состава обрабатываемых персональных данных Госкомитет руководствуется минимальным составом персональных данных, необходимым для достижения целей их обработки.

2.5. Все мероприятия по обработке и защите персональных данных проводятся в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

III. Цели и сроки обработки персональных данных

3.1. Обработка Госкомитетом персональных данных осуществляется в целях:

обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

заключения и исполнения служебных контрактов, а также выполнения обязательств, возложенных на Госкомитет как на работодателя законодательством Российской Федерации;

заключения и исполнения трудовых договоров, а также выполнения обязательств, наложенных на Госкомитет как на работодателя законодательством Российской Федерации;

проведения конкурса на замещение вакантных должностей государственной гражданской службы;

формирования кадрового резерва и исполнения требований трудового законодательства, законодательства Российской Федерации о государственной гражданской службе;

заключения сделок гражданско-правового характера, исполнение обязательств по ним, включая расчеты;

рассмотрения обращений граждан и последующего уведомления о результатах рассмотрения;

проведения внутреннего финансового аудита подведомственных организаций.

3.2. Сроки обработки персональных данных в Госкомитете определяются в соответствии со сроками, установленными Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", приказом Федерального архивного агентства от 20 декабря 2019 года N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", иным законодательством Российской Федерации, договорами (государственными контрактами), сроком исковой давности, сроком согласия, данным субъектом на их обработку.

3.3. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по окончании срока хранения, достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

IV. Порядок и условия обработки персональных данных в госкомитете

4.1. Обработке подлежат только те персональные данные, которые отвечают целям их обработки. Должностные лица Госкомитета и иные лица, получившие доступ к персональным данным, не вправе раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.2. Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан.

4.3. Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его законным представителем. Согласие выражается в различных формах, позволяющих подтвердить факт его получения, в том числе в конклюдентных действиях, в письменном виде в форме отдельного документа, либо в составе какого-либо документа, подписываемого субъектом. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с федеральным законодательством.

4.4. Необходимо получить согласие субъекта персональных данных на обработку его персональных данных (за исключением случаев, предусмотренных федеральными законами) при:

передаче персональных данных третьим лицам;

распространении персональных данных;

принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

4.5. Обязанность получения письменного согласия на обработку персональных данных субъекта персональных данных возлагается на отдел кадровой и организационной работы, непосредственно осуществляющий сбор персональных данных.

4.6. Госкомитет не вправе запрашивать у субъектов информацию об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, если иное не предусмотрено федеральным законом.

4.7. В информационных системах персональных данных, используемых в Госкомитете, соблюдается парольная защита.

4.8. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

4.9. При эксплуатации информационной системы, предназначенной для обработки персональных данных, пользователям запрещается:

вносить изменения в состав, конструкцию, конфигурацию и размещение технических средств информационной системы;

вносить изменения в состав программного обеспечения, структуру файловой системы;

осуществлять попытки несанкционированного доступа к ресурсам информационной системы и к информации других пользователей;

подключать информационную систему персональных данных к информационным сетям общего пользования без использования дополнительных средств защиты (сертифицированные межсетевые экраны и средства криптографической защиты данных).

4.10. В отношении каждой категории персональных данных определяются места хранения персональных данных (носителей персональных данных) и перечень должностей государственной гражданской службы Республики Башкортостан в Госкомитете, замещение которых предусматривает осуществление обработки персональных данных, либо наличие доступа к персональным данным.

4.11. Должностное лицо Госкомитета при обработке персональных данных без использования средств автоматизации обязано:

выполнять требования, установленные настоящей Политикой; обеспечить сохранность бумажных документов в процессе их обработки и хранения;

исключать просмотр документов, содержащих персональные данные, третьими лицами, в том числе должностными лицами Госкомитета, которым не предоставлен доступ к данным документам;

хранить документы на рабочем месте исключительно с целью обработки персональных данных. При достижении целей обработки сдавать документы в архив либо осуществлять в установленном порядке уничтожение документов;

в нерабочее время бумажные документы хранить в запираемых секциях рабочих столов или в шкафах либо в запираемом помещении.

4.12. Должностное лицо Госкомитета при обработке персональных данных в информационной системе персональных данных обязано:

при работе с автоматизированным рабочим местом (далее - АРМ) использовать только установленное программное обеспечение, необходимое для выполнения должностных обязанностей должностного лица;

при обработке персональных данных на АРМ исключить возможность ознакомления посторонних лиц с электронными документами;

при отлучении с рабочего места закрывать все электронные документы, базы данных, содержащие персональные данные, блокировать АРМ;

использовать только учтенные машинные носители информации;

обеспечивать сохранность машинных носителей информации;

при повреждении и выходе из строя внешних машинных носителей сдавать их для уничтожения;

докладывать непосредственному руководителю о выявленных или допущенных нарушениях правил.

4.13. Хранение персональных данных осуществляется в пределах сроков, необходимых для достижения цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, иным нормативным правовым актом или договором, стороной которого является субъект персональных данных.

4.14. Съемные машинные носители персональных данных должны храниться в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае, если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием средств криптографической защиты информации виде, то допускается хранение таких носителей вне сейфов (металлических шкафов).

4.15. Сроки хранения персональных данных определяются Номенклатурой дел Госкомитета.

4.16. Срок хранения персональных данных в электронном виде не может превышать срока хранения персональных данных на бумажных носителях.

4.17. Необходимо обеспечивать раздельное хранение персональных данных (носителей персональных данных), обработка которых осуществляется в различных целях.

4.18. Места хранения носителей персональных данных определяются приказом Госкомитета.

4.19. Начальник отдела Госкомитета в котором ведется обработка персональных данных, осуществляет контроль за хранением и использованием носителей персональных данных с целью исключения несанкционированного использования, изменения, распространения и уничтожения персональных данных, находящихся на этих носителях.

4.20. Вынос носителей персональных данных за пределы помещения Госкомитета допускается исключительно по служебной необходимости с разрешения начальника отдела Госкомитета.

V. Основные принципы обработки персональных данных

5.1. Госкомитет получает персональные данные непосредственно от субъекта персональных данных, его представителя либо от лица, поручившего Госкомитету обработку персональных данных, за исключением случаев, предусмотренных законодательством.

5.2. Обработка персональных данных осуществляется на принципе соответствия содержания и объема обрабатываемых персональных данных целям обработки персональных данных.

5.3. Обработка персональных данных осуществляется на принципе достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных.

5.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством. Согласие выражается в различных формах, позволяющих подтвердить факт его получения, в том числе в конклюдентных действиях, в письменном виде в форме отдельного документа либо в составе какого-либо документа, подписываемого субъектом. Согласие дается представителем субъекта при предоставлении им документов, подтверждающих полномочия.

5.5. Субъект вправе отозвать данное ранее согласие на обработку персональных данных. В случаях, предусмотренных законодательством, обработка персональных данных продолжается после отзыва субъектом согласия на обработку.

5.6. При принятии решений, затрагивающих интересы субъекта, Госкомитет не основывается на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.7. Персональные данные не используются в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

5.8. Доступ к персональным данным субъектов имеют должностные лица Госкомитета, которым персональные данные необходимы в связи с исполнением ими должностных обязанностей.

5.9. Передача персональных данных субъекта третьим лицам, осуществляется только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством.

5.10. Госкомитет вправе создавать общедоступные источники персональных данных, в которые могут включаться персональные данные субъекта с его письменного согласия.

5.11. К числу массовых потребителей персональных данных вне Госкомитета относятся государственные и негосударственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, органы социального страхования, пенсионные фонды, подразделения федеральных, республиканских и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации в пределах своей компетенции.

5.12. Передача персональных данных субъекта в коммерческих целях не осуществляется.

5.13. В случае необходимости передачи Госкомитетом персональных данных субъекта третьим лицам, она осуществляется только после подписания с третьей стороной соглашения о неразглашении конфиденциальной информации, за исключением случаев, предусмотренных законодательством.

5.14. Обработка персональных данных осуществляется как с использованием средств вычислительной техники, так и без использования таковых средств.

5.15. Обработка персональных данных подлежит прекращению при достижении конкретных и законных целей.

5.16. Обработка персональных данных, несовместимых с целями сбора персональных данных, не допускается.

5.17. Объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается.

VI. Права и обязанности участников процесса обработки персональных данных

6.1. В целях обеспечения защиты персональных данных субъекты имеют право:

получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

осуществлять свободный бесплатный доступ к своим персональным данным, включая право делать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом;

требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

при отказе Госкомитета или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения;

требовать от Госкомитета или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

обжаловать в суд любые неправомерные действия (бездействие) Госкомитета или уполномоченного им лица при обработке и защите персональных данных субъекта.

6.2. Госкомитет обязан сообщить в порядке, предусмотренном законодательством, субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта или его представителя, либо в течение тридцати дней с даты получения запроса субъекта или его представителя.

6.3. Госкомитетом принимаются к рассмотрению только обращения и запросы, полученные от субъекта или его представителя в письменном виде лично, по почте или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. К рассмотрению принимаются запросы, содержащие всю необходимую информацию, предусмотренную законодательством.

6.4. При личном обращении (запросе) субъект или его представитель обязаны представить документы, подтверждающие их личность и полномочия.

6.5. Обращения и запросы, направленные в Госкомитет по почте, должны быть подписаны субъектом или его представителем.

6.6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте или персональных данных субъекту или его представителю при их обращении либо при получении запроса субъекта или его представителя Госкомитет обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положения нормативных документов, являющиеся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта или его представителя либо с даты получения запроса субъекта или его представителя.

6.7. Субъект или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

VII. Защита обрабатываемых персональных данных

Госкомитет принимает необходимые и достаточные организационные и технические меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

VIII. Контроль и надзор за обработкой персональных данных

8.1. Уполномоченным органом по защите прав субъектов, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (далее - Управление Роскомнадзора по Республике Башкортостан).

8.2. Управление Роскомнадзора по Республике Башкортостан по защите прав субъектов рассматривает обращения субъекта о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

IX. Ответственность за нарушение требований законодательства в отношении обработки персональных данных

9.1. Лица, виновные в нарушении требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", несут ответственность, предусмотренную законодательством Российской Федерации.

9.2. Моральный вред, причиненный субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков.