Приложение. Политика обработки персональных данных в информационных системах персональных данных Администрации Седельниковского муниципального района Омской области. Постановление Администрации Седельниковского муниципального района Омской области от 25.04.2023 N 76 "Об утверждении Политики обработки персональных данных в информационных системах персональных данных Администрации Седельниковского муниципального района Омской области"

Приложение
к постановлению Администрации
Седельниковского муниципального района
от 25.04.2023 N 76

Политика
обработки персональных данных в информационных системах персональных данных Администрации Седельниковского муниципального района Омской области

1. Общие положения

1.1. Настоящая Политика обработки персональных данных в информационных системах персональных данных Администрации (далее - Политика) определяет основные принципы получения, хранения, обработки, передачи и любого другого использования персональных данных, обрабатываемых в Администрации Седельниковского муниципального района (далее, соответственно - Администрация или Оператор, ИС) в соответствии с законодательством Российской Федерации.

1.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.3. Для целей настоящей Политики используются следующие основные понятия:

- персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.4. Обязанности субъекта персональных данных и Администрации (далее - Оператор)

1.4.1. В целях обеспечения достоверности персональных данных субъект персональных данных обязан:

- предоставлять Администрации полные и достоверные данные о себе;

- в случае изменения своих персональных данных сообщать данную информацию Администрации.

1.4.2. Оператор обязан:

- осуществлять защиту персональных данных субъекта персональных данных;

- вести журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных в информационных системах персональных данных Администрации;

- ограничить доступ к журналу учета обращений субъектов персональных данных по вопросам обработки их персональных данных в информационных системах персональных данных Администрации (в электронной и бумажной форме) кругом должностных лиц (работников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;

- обеспечивать хранение документации, содержащей персональные данные субъектов персональных данных, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные;

- обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в порядке, определенном федеральной службой безопасности Российской Федерации (далее - ФСБ России), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

- уведомлять Управление Роскомнадзора по Омской области о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, и о результатах внутренних расследований выявленных инцидентов в сроки, определенные Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.5. Права субъекта ПДн

1.5.1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Оператором способы обработки персональных данных;

- сроки обработки персональных данных, в том числе сроки их хранения.

1.5.3. Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.

1.5.4. Субъект персональных данных имеет право требовать исключить или исправить неверные или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.5.5. Если субъект персональных данных считает, что Администрация осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Администрации в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

1.5.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

2. Основание и цели обработки персональных данных

2.1. Обработка ПДн осуществляется на законной и справедливой основе.

2.2. Основания обработки персональных данных в ИС, а также источники их получения, указаны в таблице А.1 Приложения А к настоящей Политике.

2.3. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, указанных в таблице А.1 Приложения А к настоящей Политике.

2.4. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Обработке подлежат только ПДн, которые отвечают целям их обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Типы субъектов ПДн и состав обрабатываемых ПДн определены в Таблице А.1 Приложения А к настоящей Политике и соответствуют заявленным целям обработки. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

3. Перечень персональных данных о субъекте персональных данных, обрабатываемых в информационной системе, и типы субъектов, персональные данных которых обрабатываются

Перечень персональных данных о субъекте персональных данных, обрабатываемых в ИС, и типы субъектов, персональные данных которых обрабатываются указаны в таблице А.1 Приложения А к настоящей Политике.

4. Порядок и условия обработки персональных данных

4.1. Перечень действий, совершаемых оператором с ПДн субъектов.

В ходе обработки ПДн Оператором возможно совершение указанных в таблице А.1 Приложения А к настоящей Политике действий с персональными данными субъектов.

4.2. Используемые оператором способы обработки персональных данных Обработка полученных персональных данных осуществляется Оператором как с использованием средств автоматизации, так и на бумажных носителях (без использования средств автоматизации).

4.3. Порядок передачи персональных данных третьим лицам.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Оператор обязуется не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации.

Трансграничная передача ПДн Оператором не осуществляется.

4.4. Обеспечение конфиденциальности персональных данных.

Оператор и иные лица, получившие доступ к персональным данным на законном основании, с целью обеспечения конфиденциальности ПДн в соответствии со статьей 7 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

4.5. Порядок ознакомления с политикой Оператора в отношении обработки персональных данных и принятых мерах по обеспечению безопасности ПДн.

В соответствии с требованиями части 2 статьи 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" настоящая Политика открыто опубликована и доступна для ознакомления в информационно-телекоммуникационной сети Интернет на официальном сайте Администрации.

Во исполнение требований части 1 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" Оператором приняты необходимые правовые, организационные и технические меры для защиты персональных данных при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты персональных данных при их обработке в ИС.

4.6. Условия прекращения обработки персональных данных.

Условием прекращения обработки персональных данных является достижение целей обработки персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных (либо обращение с требованием о прекращении обработки ПДн), а также выявление неправомерной обработки персональных данных.

4.7. Организация хранения персональных данных.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и/или договором, стороной которого является субъект ПДн.

Для организации хранения персональных данных в случае автоматизированной обработки Оператор в соответствии с частью 5 статьи 18 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" использует базы данных, находящиеся на территории Российской Федерации. При обработке персональных данных без использования средств автоматизации хранение организовано в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а именно:

- Оператором определены места хранения персональных данных (материальных носителей) и установлены перечни лиц, осуществляющих обработку персональных данных без использования средств автоматизации, либо имеющих к ним доступ;

- Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

- Оператором определен перечень лиц, ответственных за реализацию организационно-режимных мер, направленных на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающих несанкционированный к ним доступ, и обеспечен контроль за их соблюдением.

5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

5.1. Актуализация, исправление, удаление персональных данных.

При обработке ПДн должны быть обеспечены точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн. Оператор не проверяет достоверность персональных данных, предоставляемых субъектами персональных данных. При этом Оператор исходит из того, что субъект персональных данных предоставляет достоверную и достаточную для достижения целей обработки персональную информацию.

Согласно статьи 21 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" в случае подтверждения факта неточности персональных данных или неправомерности их обработки Администрация принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных и временному прекращению обработки до момента устранения выявленных нарушений.

5.2. Уничтожение персональных данных.

Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта персональных данных на обработку его персональных данных, или в случае выявления неправомерной обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, или иным соглашением между Оператором и субъектом персональных данных.

5.3. Порядок рассмотрения запросов субъектов персональных данных Оператор обязуется сообщать субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по его запросу.

Правила рассмотрения запросов субъектов персональных данных или их представителей, а также соответствующие формы запросов/обращений, предоставляются Администрации по запросу не позднее десяти рабочих дней со дня получения запроса.