Приложение N 1. Политика обработки персональных данных в Министерстве социальной защиты Республики Карелия. Приказ Министерства социальной защиты Республики Карелия от 20.07.2020 N 507-П "Об утверждении Политики обработки персональных данных в Министерстве социальной защиты Республики Карелия"

Приложение N 1
к приказу Министерства
социальной защиты
Республики Карелия
от "20" июля 2020 года N 507-П

Политика
обработки персональных данных в Министерстве социальной защиты Республики Карелия

1. Настоящий документ определяет политику обработки персональных данных в Министерстве социальной защиты Республики Карелия (далее - Политика) в соответствии с требованиями законодательства в области обработки и обеспечения безопасности персональных данных и направлен на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Министерстве социальной защиты Республики Карелия (далее - Министерство).

2. Понятия, используемые в настоящей Политике, применяются в значении, определенном Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

3. Обработка персональных данных в Министерстве социальной защиты Республики Карелия осуществляется в целях реализации возложенных на Министерство полномочий и функций, определяемых Положением о Министерстве социальной защиты Республики Карелия, утвержденным постановлением Правительства Республики Карелия от 25 октября 2017 года N 374-П, а также в целях обеспечения предоставления и его подведомственными учреждениями государственных услуг в установленных сферах деятельности, рассмотрения обращений граждан, ведения кадровой работы, в том числе при формировании кадрового резерва Республики Карелия и проведении конкурса на замещение вакантных должностей государственной гражданской службы в Министерстве.

4. При обработке персональных данных в Министерстве объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных.

5. Министерство осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

- лица, замещающие государственные должности Республики Карелия в Министерстве (далее - государственные должности), члены их семей, лица, претендующих на замещение государственных должностей, члены их семей;

- государственные гражданские служащие Республики Карелия, замещающие должности государственной гражданской службы Республики Карелия в Министерстве (далее соответственно - должности гражданской службы, гражданская служба, гражданские служащие Министерства), члены их семей, лица, претендующие на замещение должностей гражданской службы в Министерстве, члены их семей;

- работники Министерства, замещающие должности, не являющимися должностями гражданской службы (далее - работники Министерства), лица, претендующих на замещение должностей работников Министерства, руководители подведомственных Министерству учреждений, лица, претендующих на замещение должностей руководителей подведомственных Министерству учреждений;

- физические лица - получатели государственных услуг;

- физические лица, обратившиеся в Министерство с обращением, жалобой или заявлением;

- физические лица, участвующие в конкурсе на замещение вакантной должности государственной гражданской службы в Министерстве Республики Карелия;

- физические лица, состоящие в кадровом резерве Республики Карелия.

6. Обработка персональных данных осуществляется на законной и справедливой основе.

7. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

8. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

9. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

10. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.

11. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных.

12. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

13. Министерство принимает необходимые и достаточные меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

14. Обработка персональных данных осуществляется Министерством с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе информации).

15. Министерство не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

16. При обработке персональных данных без использования средств автоматизации Министерство в соответствии с положениями нормативных правовых актов в области обработки и защиты персональных данных реализует комплекс организационных и технических мер, обеспечивающих:

- обособление персональных данных от информации, не содержащей персональных данных;

- раздельную обработку и хранение каждой категории персональных данных (фиксация на отдельных материальных носителях персональных данных, цели обработки которых заведомо несовместимы);

- соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, установленным требованиям;

- сохранность материальных носителей персональных данных;

- условия хранения, исключающие несанкционированный доступ к персональным данным, а также смешение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

- надлежащее уточнение, уничтожение или обезличивание персональных данных.

17. В соответствии с требованиями нормативных правовых актов в области обработки и защиты персональных данных, обработки персональных данных с использованием средств автоматизации в Министерстве используются информационные системы (далее - ИС).

18. Безопасность персональных данных при их обработке в ИС обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии нормативными правовыми актами Министерства, принимаемыми в соответствии с частью 5 статьи 19 Федерального закона N 152-ФЗ, в которых определяются угрозы безопасности персональных данных, актуальные при обработке персональных данных в ИС персональных данных, эксплуатируемых в Министерстве, с учетом содержания персональных данных, характера и способов их обработки.

19. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в ИС.

20. Обработка персональных данных в Министерстве с использованием средств автоматизации ведется только в ИС.

21. В Министерстве запрещается обработка персональных данных с целями, не соответствующими целям создания ИС, эксплуатация ИС в составе, отличном от указанного при создании ИС.

22. Сроки хранения, уничтожение носителей персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.

23. Информация, относящаяся к персональным данным, ставшая известной гражданским служащим и работникам Министерства в связи с исполнением ими служебных (трудовых) обязанностей, является конфиденциальной информацией и охраняется законом.

24. Гражданские служащие и иные лица, получившие доступ к обрабатываемым персональным данным, подписывают обязательство о неразглашении конфиденциальной информации, а также предупреждаются об установленной законодательством ответственности за нарушение норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.

25. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Министерством;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Министерством способы обработки персональных данных;

- наименование и место нахождения Министерства, сведения о лицах (за исключением гражданских служащих и работников Министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование организации или фамилию, имя, отчество лица и адрес организации, осуществляющей обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена третьему лицу;

- иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.

26. Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

27. Если субъект персональных данных считает, что Министерство осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Министерства в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или в судебном порядке.

28. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

29. Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона N 152-ФЗ.

30. Министерство при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

31. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Министерством, планируются и реализуются в целях обеспечения соответствия требованиям, приведенным в статье 19 Федерального закона N 152-ФЗ.

32. Для обеспечения безопасности и конфиденциальности персональных данных, Министерством принимаются следующие организационные и технические меры:

- назначение ответственного за организацию обработки персональных данных;

- разработка локальных актов по вопросам обработки и защиты персональных данных;

- определение перечня обрабатываемых персональных данных и защищаемых информационных ресурсов;

- определение перечня гражданских служащих, имеющих доступ к персональным данным;

- ознакомление гражданских служащих Министерства с требованиями федерального законодательства и локальными актами Министерства по обработке и защите персональных данных;

- обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

- установление правил и ограничение доступа к персональным данным;

- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации о защите персональных данных.

- применение, при необходимости, программных и аппаратных средств защиты информации, в том числе криптографических, прошедших в установленном порядке процедуру оценки соответствия;

- осуществление контроля соответствия обработки и защиты персональных данных требованиям законодательства Российской Федерации о персональных данных.

33. Министерство несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.

34. Настоящая Политика подлежит размещению на официальном сайте Министерства.

35. Настоящая Политика подлежит изменению, дополнению в случае изменения законодательства в сфере обработки и защиты персональных данных.