Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства цифрового развития, связи и массовых коммуникаций Республики Коми от 14 июня 2023 г. N 76 "Об утверждении Политики в отношении обработки персональных данных в Министерстве цифрового развития, связи и массовых коммуникаций Республики Коми"
- Приложение N 1. Политика в отношении обработки персональных данных Министерстве цифрового развития, связи и массовых коммуникаций Республики Коми
Приложение N 1. Политика в отношении обработки персональных данных Министерстве цифрового развития, связи и массовых коммуникаций Республики Коми
Приложение N 1
к приказу
Министерства цифрового
развития, связи
и массовых коммуникаций
Республики Коми
от 14 июня 2023 г. N 76
Политика
в отношении обработки персональных данных Министерстве цифрового развития, связи и массовых коммуникаций Республики Коми
1. Общие положения
Настоящая Политика обработки персональных данных (далее - Политика) действует в отношении всей информации, которую Министерство цифрового развития, связи и массовых коммуникаций Республики Коми (далее - Министерство) может получить о физических лицах в рамках ведения своей деятельности. Политика разработана в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и предназначена для ознакомления неограниченного круга лиц.
1.1. Права субъекта персональных данных
Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:
- получать информацию, касающуюся обработки своих персональных данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать прекращения обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- обжаловать действия или бездействие Министерства в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.2. Обязанности оператора
1.2.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" или другими федеральными законами.
1.2.2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
1.2.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, когда:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, предусмотренных частью 3 статьи 18.1. Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", нарушает права и законные интересы третьих лиц.
До начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" права субъекта персональных данных;
- источник получения персональных данных.
1.2.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 5, 8 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
1.2.5. Принимать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
1.2.6. Принимать меры, направленные на обеспечение безопасности персональных данных при их обработке.
1.2.7. Устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
1.2.8. Обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.2.9. Уведомлять Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 24 часов о факте неправомерной или случайной передачи (предоставление, распространение, доступ) персональных данных, повлекшей нарушение прав субъектов ПДн, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий инцидента.
1.2.10. Уведомлять Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 72 часов о результатах внутреннего расследования выявленного инцидента и предоставить сведения о лицах, действия которых стали причиной утечки выявленного инцидента (при наличии).
1.3. Права оператора
1.3.1. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, указанные в п. 1.1.2.3. настоящей Политики, в случаях, если:
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "п. 1.2.3. настоящей Политики" и далее по тексту
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- оператор осуществляет обработку персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, предусмотренных п. 1.1.2.3. настоящей Политики, нарушает права и законные интересы третьих лиц.
1.3.2. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса в части, касающейся обработки персональных данных субъекта персональных данных, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
1.4. Основные понятия и определения
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Цели сбора персональных данных
Министерство осуществляет обработку персональных данных в следующих целях:
2.1. работники: содействие в трудовой деятельности, обеспечение личной безопасности, учет результатов исполнения договорных обязательств, осуществление причитающихся выплат, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, оформление доверенностей, пропусков, билетов, осуществление командировок, подготовка необходимых документов для налоговой отчётности, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым кодексом РФ, и другими нормативно-правовыми актами в сфере трудовых отношений;
2.2. контрагенты: осуществление контактов, исполнение обязательств по договору;
2.3. иные лица: рассмотрение обращений граждан, осуществление контактов, исполнение обязательств по договору.
3. Правовые основания обработки персональных данных
Министерство осуществляет обработку персональных данных на основании:
- Конституции Российской Федерации от 12 декабря 1993 г.;
- Гражданского кодекса Российской Федерации;
- Трудового кодекса Российской Федерации;
- Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации";
- Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
- Федерального закона от 28.03.1998 N 55-ФЗ "О воинской обязанности и военной службе";
- Закона Республики Коми от 05.03.2005 N 10-РЗ "О некоторых вопросах государственной гражданской службы Республики Коми";
- Закона Республики Коми от 04.05.2008 N 48-РЗ "О пенсионном обеспечении лиц, замещавших должности государственной гражданской службы Республики Коми";
- Постановления Правительства Российской Федерации от 27.11.2006 N 719 "Об утверждении Положения о воинском учете";
- иных нормативных правовых актов Российской Федерации и Республики Коми;
- согласия на обработку персональных данных.
Обработка персональных данных необходима для осуществления прав и законных интересов Министерства или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Категории субъектов персональных данных
В Министерстве обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных): работники; контрагенты; иные лица.
4.2. Категории обрабатываемых персональных данных
Министерство обрабатывает следующие категории персональных данных:
4.2.1. Работники: Фамилия, имя, отчество; Данные документа, удостоверяющего личность; Пол; Дата рождения; Место рождения;
4.2.2. Контрагенты;
4.2.3. Иные лица.
5. Порядок и условия обработки персональных данных
5.1. Министерство осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) персональных данных с использованием средств автоматизации, а также без использования таких средств.
5.2. Обработка персональных данных Министерства ведется смешанным способом: с использованием средств автоматизации и без.
5.3. Министерство может поручить обработку персональных данных третьим лицам в случаях, если: субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом "О персональных данных");
это необходимо для осуществления и выполнения возложенных законодательством Российской Федерации и Республики Коми на Министерство функций, полномочий и обязанностей;
в других случаях, предусмотренных законодательством Российской Федерации.
Трансграничная передача персональных данных не осуществляется.
5.4. Система защиты персональных данных, обрабатываемых в Министерстве включает в себя совокупность организационных, технических и физических мер по защите информации, в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
5.4.1. Организационные меры по защите персональных данных включают в себя:
- назначение ответственного лица за организацию обработки персональных данных;
- регламентирование следующих процессов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, в том числе во время чрезвычайных ситуаций;
- осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации;
- определения оценки вреда субъектам персональных данных;
- определения угроз безопасности персональных данных, при их обработке в информационных системах персональных данных;
- учет материальных носителей и мест хранения персональных данных;
- своевременную актуализацию списков работников, допущенных к обработке персональных данных в информационных системах персональных данных и без использования средств автоматизации;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- разграничение ответственности между сотрудниками Министерства.
5.4.2. Технические меры по защите персональных данных включают в себя:
- использование и настройку средств защиты информации (от несанкционированного доступа, криптографических, антивирусных, средств межсетевого экранирования и т.п.), прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- настройку механизмов операционной системы: локальные и групповые политики учетных записей, аудита и параметров безопасности.
5.4.3. Меры по физической защите персональных данных включают в себя:
- контроль доступа сотрудников и посетителей на территорию Министерства;
- обеспечение датчиками охранно-пожарной сигнализации помещений Министерства.
5.5. Сроки, условия обработки и хранения персональных данных, уничтожение персональных данных
5.5.1. Министерство осуществляет обработку и хранение персональных данных в течение следующих сроков:
- Работники: 50 лет - хранение персональных данных работников; отзыв согласия, если иное не предусмотрено федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено федеральным законодательством;
- Контрагенты: исполнение обязательств по договорам и в течение срока исковой давности; отзыв согласия, если иное не предусмотрено федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено федеральным законодательством;
- Иные лица: исполнение обязательств по договорам и в течение срока исковой давности; отзыв согласия, если иное не предусмотрено федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено федеральным законодательством.
5.5.2. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или хранения документов, согласно установленным срокам хранения для определенных категорий документов, или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.5.3. Хранение персональных данных осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральными законами, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.5.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Установлен перечень лиц, осуществляющих обработку персональных данных. Внутренними документами Министерства определен порядок доступа в помещения, предназначенные для обработки персональных данных. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, оператор актуализирует персональные данные и прекращает обработку, соответственно.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
6.2.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
6.2.2. оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
6.2.3. иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
6.3. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 5.5.1, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
6.4. Уничтожение бумажных носителей осуществляется сотрудниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами. Уничтожение информации на автоматизированных рабочих местах осуществляется комиссией, способами, не позволяющими осуществить восстановление данных.
7. Рассмотрение запросов субъектов персональных данных или их законных представителей
7.1. Субъект персональных данных имеет право обратиться с письменным запросом (далее - Запрос) установленной формы (приложение N 1) в Министерство с целью получения информации, касающейся обработки его персональных данных.
7.2. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.3. В случае направления запроса в форме электронного документа, запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
- подпись субъекта персональных данных или его представителя.
7.4. Сведения по запросу предоставляются субъекту персональных данных Министерства в доступной форме.
7.5. В случае, если сведения, указанные в ответе были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться или направить повторный запрос в целях получения сведений и ознакомления с персональными данными не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральными законами, принятыми в соответствии с ними нормативными правовыми актами или договорами, стороной которых являются либо выгодоприобретатели, либо поручители.
7.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе, содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и способы обработки персональных данных, применяемые в Министерстве;
место нахождения Министерства, сведения о лицах (за исключением сотрудников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федеральных законов;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена такому лицу;
иные сведения, предусмотренные действующим законодательством.
7.7. Субъект персональных данных вправе повторно обратиться или направить повторный запрос в целях получения сведений, касающихся обработки его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 7.5. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 7.5, настоящей Политики, должен содержать обоснование направления повторного запроса.
7.8. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 7.5, и п. 7.6, настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Министерстве.
7.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8. Изменение политики
Министерство имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики.
9. Обратная связь
9.1. Министерство цифрового развития, связи и массовых коммуникаций Республики Коми. Юридический адрес: 167000, Республика Коми, г. Сыктывкар, ул. Интернациональная, д. 108.
9.2. Лицо, ответственное за организацию обработки персональных данных: заведующий сектором информационной безопасности Павлицкий Сергей Иванович, s.i.pavlitskiy@digital.rkomi.ru. тел: (8212) 255444 (доб. 208).