Приложение N 1. Политика в отношении обработки персональных данных Управления государственного финансового контроля Республики Адыгея. Приказ Управления государственного финансового контроля Республики Адыгея от 16.03.2018 N 49-А "О введении в действие политики в отношении обработки персональных данных"

Приложение N 1
к приказу Управления
государственного финансового
контроля Республики Адыгея
от 16.03.2018 г. N 49-А

Политика
в отношении обработки персональных данных Управления государственного финансового контроля Республики Адыгея

1. Общие положения

1.1. Настоящий документ утвержден во исполнение статьи 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон), определяет политику в отношении обработки персональных данных (раздел 2) и содержит сведения о реализуемых требованиях к защите персональных данных (раздел 3).

1.2. Понятия, связанные с обработкой персональных данных: В настоящем документе используются следующие термины и их определения:

- безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- доступ к информации - возможность получения информации и ее использования;

- защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

- информационная система персональных данных - это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- источник угрозы безопасности информации - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации;

- конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

- недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации;

- несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

- носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;

- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

- оператор - Управление государственного финансового контроля Республики Адыгея организующий и осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных;

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

- средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем;

- субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа;

- технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

- угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации;

- целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Политика в отношении обработки персональных данных

2.1. Оператор обрабатывает персональные данные следующих категорий граждан:

- кандидатов на вакантные должности - физических лиц, претендующих на замещение вакантных должностей оператора;

- сотрудников - физических лиц, связанных с оператором трудовыми отношениями;

- членов семей (при их отсутствии - близких родственников) сотрудников - физических лиц, находящихся в семейных (родственных) отношениях с сотрудниками оператора;

- лиц, в отношении которых оператор ведет производство по делам об административных правонарушениях;

- контрагентов - физических лиц, с которыми у оператора заключены договоры гражданско-правового характера;

- иных граждан в связи с заключением оператором иных договоров, не противоречащих законодательству Российской Федерации.

2.2. Оператор осуществляет обработку персональных данных, руководствуясь следующими принципами:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;

- обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

- оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок храпения персональных данных не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом;

- оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

2.3. При обработке персональных данных оператор исходит из того, что основным условием (случаем), когда такая обработка допускается, является получение согласия субъекта персональных данных на обработку его персональных данных.

Иные случаи обработки оператором персональных данных определяются законодательством Российской Федерации в области персональных данных.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2.4. Права субъекта персональных данных.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Состав предоставляемых сведений, а также порядок, правила и сроки их предоставления установлены федеральным законодательством.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено федеральными законами.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Иные права субъекта персональных данных, в том числе право на обжалование действий или бездействий оператора, установлены Федеральным законом.

2.5. Права и обязанности оператора.

- Оператор вправе:

- предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных;

- продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных Федеральным законом;

- мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.

- Обязанности оператора:

- при обработке персональных данных оператор обязан соблюдать безопасность и конфиденциальность обрабатываемых персональных данных, а также выполнять иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.

3. Сведения о реализуемых требованиях к защите персональных данных

3.1. Оператор реализует следующие требования к защите персональных данных:

- определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

- применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применяет прошедшую в установленном порядке процедуру оценки соответствия средства защиты информации;

- оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- ведет учет машинных носителей персональных данных;

- обнаруживает факты несанкционированного доступа к персональным данным и принимает меры;

- восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

- устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4. Заключительные положения

4.1. Настоящий Приказ является внутренним документом оператора.

4.2. Во исполнение требований Федерального закона настоящая Политика в отношении обработки персональных данных Управления государственного финансового контроля Республики Адыгея опубликована на сайте оператора.