Приложение. Политика обработки персональных данных в Департаменте государственного управления и кадровой политики области. Приказ Департамента государственного управления и кадровой политики Вологодской области от 14.05.2018 N 88 "Об утверждении Политики обработки персональных данных в Департаменте государственного управления и кадровой политики области" (с изменениями и дополнениями)

Утверждена
приказом Департамента
государственного управления и
кадровой политики области
от 14.05.2018 года N 88

(приложение)

Политика обработки персональных данных в Департаменте государственного управления и кадровой политики области
(далее - Политика)

I. Общие положения

1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Департаменте государственного управления и кадровой политики области (далее - Департамент) с целью обеспечения защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. В настоящей Политике используются следующие термины и определения:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

субъект персональных данных - государственный гражданский служащий области в Департаменте или кандидат на замещение вакантных должностей в Департаменте;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Департаменте с использованием средств автоматизации, а также без использования таких средств.

II. Порядок обработки персональных данных

2.1. Департамент в соответствии со статьей 18.1 Закона N 152-ФЗ является оператором, который организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, действия (операции), совершаемые с персональными данными.

2.2. Департамент обрабатывает персональные данные следующих категорий субъектов персональных данных:

государственные гражданские служащие Департамента (в том числе лица, замещавшие должности государственной гражданской службы области

в Департаменте), близкие родственники государственных гражданских служащих Департамента;

граждане, претендующие на замещение должностей государственной гражданской службы области в Департаменте;

работники Департамента (в том числе бывшие работники Департамента), близкие родственники работников Департамента;

контрагенты с которыми у Департамента заключены договоры гражданско-правового характера;

иные физические лица, представляющие в Департамент персональные данные в связи с выполнением Департаментом полномочий (функций) в соответствии с законодательством Российской Федерации и Положением о Департаменте, утвержденным постановлением Правительства области от 26 февраля 2018 года N 171 "Об утверждении Положения о Департаменте государственного управления и кадровой политики Вологодской области".

2.3. Обработка персональных данных в Департаменте осуществляется на основе следующих принципов:

законной и справедливой основы;

ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

недопущения обработки персональных данных, несовместимой с целями их обработки;

недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработки только тех персональных данных, которые отвечают целям их обработки;

соответствия содержания и. объема обрабатываемых персональных данных заявленным целям обработки;

недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;

обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен действующим законодательством.

2.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом N 152-ФЗ.

2.5. Сроки обработки персональных данных устанавливаются в зависимости от категорий субъектов персональных данных и с учетом положений действующего законодательства Российской Федерации.

2.6. Субъекты персональных данных обладают правами, предусмотренными Законом N 152-ФЗ.

2.7. Права и обязанности Департамента.

2.7.1. Департамент вправе:

предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных;

продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных Законом;

мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.

2.7.2. Департамент при обработке персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

III. Меры по обеспечению безопасности персональных данных

3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, измельчения, блокирования, копирования, распространения, предоставления, а также от иных неправомерных действий в отношении их.

3.2. Персональные данные субъектов персональных данных в Департаменте обрабатываются на бумажных и электронных носителях в специальных предназначенных для этого помещениях, занимаемых структурными подразделениями Департамента, осуществляющими деятельность по обработке персональных данных.

3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статей 19 Закона N 152-ФЗ, разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687, постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению персональных данных при их обработке в информационных системах персональных данных", а также иными нормативными правовыми актами.

К организационным и техническим мерам защиты персональных данных относятся в том числе:

определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;

организация порядка уничтожения информации, содержащей персональные данные;

обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;

соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.

3.4. Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:

утвержденных организационно - технических документов, установленных нормативными правовыми актами в области защиты информации;

настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств, в соответствии с требованиями по защите информации, установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.

IV. Заключительные положения

4.1. Иные права и обязанности Департамента, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.

4.2. Должностные лица Департамента, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную,- гражданско-правовую или уголовную ответственность в порядке, установленном действующим законодательством.