Приложение. Политика обработки персональных данных в Комитете гражданской защиты и социальной безопасности области. Приказ Комитета гражданской защиты и социальной безопасности Вологодской области от 15.07.2016 N 76 "Об утверждении Политики обработки персональных данных"

Приложение
к приказу
Комитета гражданской защиты
и социальной безопасности области
от 15.07.2016 N 76

Политика обработки персональных данных в Комитете гражданской защиты и социальной безопасности области

1. Общие положения

Настоящая Политика обработки персональных данных (далее - Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Комитете гражданской защиты и социальной безопасности области (далее - Комитет) с целью обеспечения защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В настоящей Политике используются следующие термины и определения:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- субъект персональных данных - государственный гражданский служащий области в Комитете или кандидат на замещение вакантных должностей в Комитете;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Комитете с использованием средств автоматизации, а также без использования таких средств.

Настоящая Политика является общедоступной и подлежит публикации на официальном сайте Комитета в информационно-телекоммуникационной сети "Интернет" в течение 10 дней с момента ее утверждения.

2. Принципы и условия обработки персональных данных

Целями сбора, накопления, обработки и систематизации персональных данных является осуществление кадровой работы в Комитете в соответствии с требованиями Федерального закона от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", расчет и учет начислений заработной платы и иных выплат государственным гражданским служащим в Комитете.

Обработка персональных данных в Комитете осуществляется на основе следующих принципов:

законной и справедливой основы;

- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

- недопущения обработки персональных данных, несовместимой с целями их обработки;

- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработки только тех персональных данных, которые отвечают целям их обработки;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

- недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;

- обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

Комитет осуществляет обработку персональных данных только с согласия субъекта персональных данных на обработку его персональных данных.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

3. Обрабатываемые персональные данные

Комитет осуществляет обработку персональных данных государственных гражданских служащих области в Комитете и кандидатов на замещение вакантных должностей в Комитете.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни в Комитете не допускается.

В целях информационного обеспечения в Комитете создаются общедоступные источники персональных данных, в том числе справочники, адресные и телефонные книги. В общедоступные источники персональных данных с согласия государственного гражданского служащего области в Комитете могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адреса электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

4. Условия обработки персональных данных, их хранения и передачи третьим лицам

4.1. Обработка персональных данных

Государственные гражданские служащие области в Комитете, допущенные к обработке персональных данных на основании правовых актов Комитета и должностных регламентов, осуществляют обработку персональных данных после ознакомления с нормативными актами Комитета, регламентирующими порядок и процедуры работы с персональными данными.

Доступ государственных гражданских служащих области в Комитете, допущенных к обработке персональных данных, к категориям персональных данных, обрабатываемых в ИСПДн, осуществляется на основании матрицы доступа, которой определяется минимальный перечень персональных данных, необходимый для исполнения должностных обязанностей государственными гражданскими служащими области.

4.2. Хранение персональных данных

Персональные данные хранятся в электронном виде в составе информационной системы персональных данных (далее - ИСПДн), в составе архивных копий баз данных ИСПДн и на бумажных носителях.

При обработке и хранении персональных данных соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним, к которым относятся:

- назначение государственных гражданских служащих области в Комитете, ответственных за организацию обработки персональных данных, и за обеспечение безопасности персональных данных при их обработке в ИСПДн;

- ограничение физического доступа к местам хранения персональных данных в бумажном виде и носителям информации в электронном виде;

- соблюдение правил обработки персональных данных в ИСПДн;

- применение сертифицированных средств защиты информации.

4.3. Передача персональных данных

Для достижения целей обработки персональных данных Комитет может передавать персональные данные государственных гражданских служащих области в Комитете третьим лицам:

- в рамках договора (контракта), предусматривающего обеспечение конфиденциальности и безопасности полученных сведений (банки, страховые компании, медицинские учреждения, организации, осуществляющие сопровождение ИСПДн);

- при поступлении запросов от уполномоченных государственных органов, в рамках действующего законодательства;

- когда такая обязанность у Комитете наступает в результате требований действующего законодательства.

5. Обеспечение безопасности персональных данных

Обеспечение безопасности персональных данных в Комитете достигается следующими мерами:

- назначение государственных гражданских служащих области в Комитете, ответственных за организацию обработки персональных данных, и за обеспечение безопасности персональных данных при их обработке в ИСПДн;

- определение угроз безопасности персональных данных, разработка на их основе частной модели угроз безопасности персональных данных и разработка системы защиты персональных данных для соответствующего класса ИСПДн;

- реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

- применение сертифицированных средств защиты информации;

- осуществление антивирусного контроля;

- парольная защита доступа к ИСПДн;

- резервное копирование;

- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- ведение электронного журнала регистрации действий пользователей ИСПДн;

- разработка и утверждение локальных актов Комитета, регламентирующих порядок обработки персональных данных, разработка инструкций;

- обучение государственных гражданских служащих области в Комитете, допущенных к обработке персональных данных, и использующих средства защиты информации, правилам работы с ними;

- проведение периодических проверок состояния защищенности ИСПДн.

6. Права субъекта персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, за исключением случаев, когда право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральным законодательством.

Субъект персональных данных имеет право на получение следующей информации:

- правовые основания и цели обработки персональных данных;

- применяемые способы обработки персональных данных;

- подтверждение факта обработки персональных данных;

сведения о лицах, которые имеют доступ к персональным данным, или которым могут быть раскрыты персональные данные на основании договора (контракта) или на основании федерального законодательства;

обрабатываемые персональные данные, относящиеся к субъекту персональных данных, источник их получения;

иных сведений, предусмотренных Законом N 152-ФЗ.

Получение данной информации осуществляется на основании письменного запроса субъекта персональных данных в Комитет.

Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется субъекту по адресу, указанному в запросе, в течение 30 дней.

Порядок обработки запросов субъектов персональных данных по выполнению их законных прав осуществляется в соответствии с локальными актами Комитета.

7. Обязанности

Комитет обязуется осуществлять обработку персональных данных только с согласия субъектов персональных данных, за исключением случаев, предусмотренных Законом N 152-ФЗ.

При сборе персональных данных Комитет обязуется по запросу субъекта персональных данных предоставлять последнему информацию, касающуюся обработки его персональных данных, в соответствии с положениями настоящей Политики. В случае, если предоставление персональных данных субъектом

персональных данных является обязательным в соответствии с федеральным законодательством, Комитет обязуется разъяснять субъекту персональных данных юридические последствия отказа от предоставления персональных данных.

Комитет при обработке персональных данных обязуется принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Комитет обязуется отвечать на запросы субъектов персональных данных, их законных представителей, а также уполномоченного органа по защите прав субъектов персональных данных в части обрабатываемых персональных данных в соответствии с требованиями законодательства.

В случае предоставления субъектом персональных данных, либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки персональных данных, Комитет обязуется устранить данные нарушения в течение семи рабочих дней и уведомить субъекта персональных данных о внесенных изменениях и принятых мерах.

Комитет обязуется уведомлять уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных Законом N 152-ФЗ.

8. Изменение Политики

В целях обеспечения эффективности осуществления мероприятий по обработке персональных данных, настоящая Политика подлежит пересмотру и актуализации не реже одного раза в год с момента ее опубликования.

Политика подлежит внеплановому пересмотру в случае существенных изменений законодательства в области защиты персональных данных.