Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 2
к Методическим рекомендациям
Политика
(Наименование Организации) в отношении обработки персональных данных
1. Общие положения
1.1. Политика (Наименование Организации) в отношении обработки и защиты персональных данных (далее - Политика) определяет основные принципы обработки персональных данных субъектов персональных данных (далее - персональные данные) и защиты прав субъектов персональных данных, персональные данные которых обрабатываются (Наименование Организации).
1.2. Политика разработана в соответствии с требованиями законодательства Российской Федерации в области персональных данных, в том числе Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон "О персональных данных"), а также иными нормативными правовыми актами Российской Федерации, Калининградской области, регулирующими обработку и защиту персональных данных.
1.3. В настоящей Политике под оператором информационной системы понимается юридическое лицо, осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Остальные термины и определения, используемые в настоящей Политике, соответствуют терминологии, принятой в статье 3 Федерального закона "О персональных данных".
2. Субъекты персональных данных, правовые основания и цели обработки персональных данных
2.1. Правовым основанием обработки персональных данных субъектов персональных данных (Наименование Организации) является исполнение возложенных на (Наименование Организации) законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: (указать перечень применимого законодательства).
К применимому законодательству могут относиться Налоговый кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Семейный кодекс Российской Федерации, Федеральный закон от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления", Федеральный закон от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральный закон от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации", Федеральный закон от 16 июля 1999 г. N 165-ФЗ "Об основах обязательного социального страхования", Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации", Федеральный закон от 29.12.2006 N 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством", Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", Федеральный закон от 28.12.2013 N 400-ФЗ "О страховых пенсиях", Федеральный закон от 15.12.2001 N 166-ФЗ "О государственном пенсионном обеспечении в Российской Федерации", Федеральный закон от 28.03.1998 N 53-ФЗ "О воинской обязанности и военной службе", Федеральный закон от 26.02.1997 N 31-ФЗ "О мобилизационной подготовке и мобилизации в Российской Федерации", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", постановление Правительства Российской Федерации от 27.11.2006 N 719 "Об утверждении Положения о воинском учете", Закон Калининградской области от 28.06.2005 N 609 "О государственной гражданской службе Калининградской области" и др.
В зависимости от вида (видов) деятельности Организации, указанного в положении об Организации (уставе) (устанавливающем полномочия Организации), необходимо уточнить правовые основания обработки персональных данных в части применимого федерального законодательства и законодательства Калининградской области.
Также необходимо обратить внимание, что Закон "О персональных данных" (как и приказы ФСТЭК России и ФСБ России) не может являться правовым основанием обработки персональных данных, поскольку не устанавливает необходимость обработки персональных данных в Организации.
2.2. Субъектами персональных данных, данные которых обрабатываются в (Наименование Организации), являются: (указать перечень субъектов ПДн, ПДн которых обрабатываются Организацией).
Пример перечня субъектов ПДн для органа исполнительной власти Калининградской области:
- государственные гражданские служащие;
- ближайшие родственники государственных гражданских служащих;
- уволенные государственные гражданские служащие;
- кандидаты, принимающие участие в конкурсе на замещение вакантных должностей гражданской службы Организации;
- представители организаций - участников закупок, проводимых Организацией в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (далее - участники закупок);
- представители контрагентов;
- физические лица, обратившиеся в Организацию с жалобой, предложением, заявлением или направившие запрос о предоставлении информации о деятельности Организации, ее подведомственных учреждений и предприятий;
- физические лица, предоставившие свои персональные в рамках исполнения Организацией своих полномочий.
Необходимо скорректировать категории субъектов персональных данных, данные которых обрабатываются Организацией. При этом необходимо учесть, что категория "физические лица, предоставившие свои персональные данные в рамках исполнения Организацией своих полномочий" должна быть уточнена в зависимости от видов деятельности Организации.
2.3. Обработка персональных данных субъектов ПДн в (Наименование Организации) осуществляется в целях: (указать цели обработки ПДн).
Для категорий субъектов ПДн, перечисленных в примере п. 2.2, целями обработки ПДн могут быть:
- обеспечение соблюдения федеральных законов и иных нормативных актов Российской Федерации и Калининградской области, регулирующих вопросы ведения бухгалтерского, налогового и воинского учета, кадровой работы при прохождении гражданами государственной гражданской службы Калининградской области в Организации;
- обеспечение соблюдения федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих вопросы участия граждан в конкурсах на включение в кадровый резерв и замещение вакантных должностей государственной гражданской службы Калининградской области в Организации;
- оформление доверенностей государственным гражданским служащим;
- проведение закупок в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";
- заключение и исполнение государственных контрактов с контрагентами;
- обеспечение соблюдения федеральных законов и иных нормативных, правовых актов, регламентирующих правоотношения в сфере рассмотрения обращений физических и юридических лиц, обеспечение доступа к информации о деятельности государственных органов;
- предоставление государственных или муниципальных услуг и осуществление государственных или муниципальных функций.
В зависимости от видов деятельности Организации необходимо уточнить цели обработки ПДн. Описание целей обработки для категории субъектов "физические лица, предоставившие персональные данные в рамках исполнения Организацией своих полномочий" рекомендуется приводить с привязкой к назначению информационных систем (каждой либо по их совокупности), операторами (либо заказчиками создания/модернизации) которых является Организация.
В случае, если в Организации есть ИСПДн, в отношении которых Организация является оператором ИСПДн, но при этом не является оператором ПДн, обрабатываемых в этих ИСПДн, в Политике рекомендуется сделать разделение описания принципов и правил обработки и защиты ПДн следующим образом:
- принципы, правила и способы обработки и защиты ПДн, оператором которых является Организация;
- принципы, правила и способы обработки и защиты ПДн, для которых Организация является оператором ИСПДн, в которых эти ПДн обрабатываются.
Также рекомендуется в обоих случаях указывать перечень операций обработки ПДн.
Далее в Политике приводится описание принципов, правил и способов обработки и защиты ПДн только для первого случая.
3. Принципы и правила обработки персональных данных
3.1. При обработке персональных данных (Наименование Организации) соблюдаются следующие принципы:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целях их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных;
- принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и Калининградской области;
- обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
3.2. В (Наименование Организации) осуществляется как автоматизированная обработка персональных данных, так и неавтоматизированная обработка персональных данных (обработка персональных данных без использования средств автоматизации; обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого субъекта персональных данных осуществляются при непосредственном участии человека). Совокупность операций обработки персональных данных в (Наименование Организации) включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, распространение, доступ), блокирование, удаление, уничтожение персональных данных.
3.3. При сборе персональных данных (Наименование Организации) обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
3.4. Перечень обрабатываемых (Наименование Организации) персональных данных утверждается распоряжением (Наименование Организации).
3.5. Допускается обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
3.6. (Наименование Организации) осуществляет передачу персональных данных третьим лицам в соответствии с требованиями законодательства Российской Федерации в области обработки и защиты персональных данных.
В случае обработки в Организации специальных категорий ПДн, биометрических ПДн рекомендуется этот факт отразить в Политике. Также в случае осуществления трансграничной передачи ПДн рекомендуется указать, на территорию каких стран она осуществляется.
3.7. (Наименование Организации) в ходе своей деятельности вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия государственным органом соответствующего акта. При этом обязательным условием предоставления и/или поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
3.8. В случаях, когда (Наименование Организации) поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет (Наименование Организации). Лицо, осуществляющее обработку персональных данных по поручению департамента, несет ответственность перед (Наименование Организации).
3.9. Прекращение обработки персональных данных осуществляется при прекращении деятельности (Наименование Организации) (ликвидация или реорганизация).
4. Сроки обработки персональных данных
4.1. Сроки обработки (в т.ч. хранения) персональных данных, обрабатываемых (Наименование Организации), определяются исходя из целей обработки персональных данных и в соответствии с требованиями федеральных законов Российской Федерации.
5. Меры обеспечения безопасности персональных данных, принимаемые (Наименование Организации)
5.1. (Наименование Организации) принимает или обеспечивает принятие необходимых и достаточных правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.2. К таким мерам в (Наименование Организации) относятся:
- назначение лица, ответственного за организацию обработки персональных данных;
- издание локальных актов по вопросам обработки персональных данных и локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки и защиты персональных данных, устранение последствий таких нарушений;
- применение или обеспечение применения правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона "О персональных данных";
- осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, внутренним документам (Наименование Организации) в области обработки и защиты персональных данных;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых (Наименование Организации) мер (или мер, обеспечение принятия которых осуществляется (Наименование Организации)), направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
- ознакомление работников (Наименование Организации) с положениями законодательства Российской Федерации о персональных данных, внутренними документами (Наименование Организации) по вопросам обработки персональных данных, требованиями к защите персональных данных.
6. Взаимодействие с субъектами персональных данных
6.1. Права субъектов персональных данных определяются статьями 14-17 Федерального закона "О персональных данных".
6.2. Для осуществления своих прав субъект персональных данных может лично или через законного представителя обратиться в (Наименование Организации) путем направления письменного запроса по адресу: (указать почтовый адрес), либо (указать иной способ взаимодействия).
6.3. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с (Наименование Организации) (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных (Наименование Организации);
- подпись субъекта персональных данных или его представителя.
6.4. Порядок рассмотрения запросов осуществляется (Наименование Организации) в порядке, установленном Федеральным законом "О персональных данных".
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.