Приложение. Политика обработки персональных данных Службы Республики Коми строительного, жилищного и технического надзора (контроля). Приказ Службы Республики Коми строительного, жилищного и технического надзора (контроля) от 22.12.2017 N 01-01-08/157 "Об утверждении политики обработки персональных данных"

Утверждена
приказом руководителя Службы
Республики Коми строительного,
жилищного и технического
надзора (контроля)
от 22 декабря 2017 г. N 01-01-08/157

Политика
обработки персональных данных Службы Республики Коми строительного, жилищного и технического надзора (контроля)

Настоящая Политика обработки персональных данных (далее - Политика) действует в отношении всей информации, которую Служба Республики Коми строительного, жилищного и технического надзора (контроля) (далее - Служба, Оператор), может получить о физических лицах в рамках ведения своей деятельности. Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и предназначена для ознакомления неограниченного круга лиц.

1.1. Права и обязанности оператора и субъекта персональных данных

1.1.1. Права субъекта персональных данных

1.1.1.1. Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:

- получать информацию, касающуюся обработки своих персональных данных;

- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- требовать прекращение обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;

- обжаловать действия или бездействие Службы в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.1.2. Обязанности оператора

1.1.2.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

1.1.2.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

1.1.2.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, когда:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

- предоставление субъекту персональных данных сведений, предусмотренных частью 3 статьи 18.1. Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", нарушает права и законные интересы третьих лиц.

До начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные настоящим Федеральным законом права субъекта персональных данных;

- источник получения персональных данных.

1.1.2.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 5, 8 части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.1.2.5. Принимать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

1.1.2.6. Принимать меры, направленные на обеспечение безопасности персональных данных при их обработке.

1.1.2.7. Устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.

1.1.3. Права оператора

1.1.3.1. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, указанные в п. 1.1.2.3. настоящей Политики, в случаях, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

- предоставление субъекту персональных данных сведений, предусмотренных п. 1.1.2.3. настоящей Политики, нарушает права и законные интересы третьих лиц.

1.1.3.2. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса в части касающейся обработки персональных данных субъекта персональных данных, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.2. Основные понятия и определения

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение.

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Цели обработки персональных данных

Служба осуществляет обработку персональных данных в следующих целях:

2.1. Сотрудники: содействие в служебной и трудовой деятельности, обеспечение личной безопасности, учет результатов исполнения служебных и договорных обязательств, осуществление безналичных платежей на счет работника, обеспечение работоспособности и сохранности ресурсов и имущества работодателя, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, оформление доверенностей, пропусков, билетов, осуществление командировок, представление интересов Службы, аттестация, повышение квалификации, а также наиболее полное исполнение обязательств и компетенций в соответствии с Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом РФ, а также другими нормативными правовыми актами в сфере трудовых отношений.

2.2. Контрагенты: осуществление контактов, исполнение обязательств по договору.

2.3. Лица, обратившиеся в Службу: реализация гражданином Российской Федерации закрепленного за ним Конституцией Российской Федерации права на обращение в государственные органы и органы местного самоуправления.

2.4. Лица, обратившиеся в Службу за предоставлением государственной услуги: осуществление и выполнение возложенных на Службу функций, полномочий и обязанностей в соответствии с законодательством Российской Федерации и законодательством Республики Коми.

3. Правовое основание обработки персональных данных

Служба осуществляет обработку персональных данных на основании:

- Конституция Российской Федерации от 12.12.1993;

- Гражданский кодекс Российской Федерации от 26.01.1996 N 14-ФЗ;

- Трудовой кодекс Российской Федерации от 30.12.2001 N 97-ФЗ;

- Кодекс об административном правонарушении Российской Федерации;

- Постановления Правительства Республики Коми от 22.12.2015 N 541 "О службе Республики Коми строительного, жилищного и технического надзора (контроля)"

- Федеральный закон от 02.05.2006 N 59 ФЗ "О порядке рассмотрения обращений граждан российской федерации";

- Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации";

- Федеральный закон от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"

- обработка персональных данных необходима для осуществления прав и законных интересов Службы или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

4. Чьи персональные данные обрабатываются

В Службе обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных):

- сотрудников Службы;

- контрагентов Службы (по гражданско-правовым договорам);

- лиц, обратившихся в Службу в целях осуществления права на обращение в государственные органы и органы местного самоуправления;

- лиц, обратившихся в Службу за предоставлением государственной услуги;

- иных лиц, давших согласие Службе на обработку своих персональных данных, либо сделавших общедоступными свои персональные данные или чьи персональные данные получены из общедоступного источника, а также в других случаях, предусмотренных законодательством Российской Федерации.

5. Категории обрабатываемых персональных данных

Служба обрабатывает следующие категории персональных данных:

5.1. Сотрудники: фамилия, имя, отчество; данные паспорта (серия, номер, кем и когда выдан); дата и место рождения; адрес места жительства и регистрации; индивидуальный номер налогоплательщика; номер страхового свидетельства (СНИЛС); реквизиты полиса медицинского страхования; контактный телефон; сведения о доходах, а также другие сведения, вносимые в справку о доходах, об имуществе и обязательствах имущественного характера; информация об образовании; сведения о составе семьи; сведения о социальных льготах; личная фотография; личная характеристика; сведения о здоровье; другие данные, вносимые в личную карточку работника (форма Т-2 или N Т-2ГС(МС)); другие данные, содержащиеся в личном деле, а также, документы (копии документов), содержащиеся в личном деле в соответствии с п. 16 Указа Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", и другие документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.

5.2. Контрагенты: фамилия, имя, отчество; данные паспорта (серия, номер, кем и когда выдай); контактный телефон, адрес; дата рождения.

5.3. Лица, обратившиеся в Службу: фамилия, имя, отчество; дата и место рождения; адрес места жительства и прописки; контактная информация (телефон, e-mail).

5.4. Лица, обратившиеся в Службу за предоставлением государственной услуги: фамилия, имя, отчество; пол; СНИЛС; ИНН; данные паспорта (серия, номер, кем и когда выдан); контактный телефон; адрес прописки, адрес проживания; дата рождения, место рождения; сведения о регистрации тракторов и самоходных машин; сведения о выданных удостоверениях тракториста-машиниста (тракториста); другие сведения, вносимые в базы данных при предоставлении государственных услуг, а также документы (копии документов), необходимые для предоставления государственных услуг.

6. Перечень действий с персональными данными

6.1. Служба осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) персональных данных с использованием средств автоматизации, а также без использования таких средств.

Служба поручает обработку персональных данных государственному автономному учреждению Республики Коми "Центр информационных технологий" расположенному по адресу: Республика Коми, г. Сыктывкар ул. Интернациональная, д. 108 "А" с целью содействия в трудовой деятельности, в соответствии с законодательством Российской Федерации, а также на основании заключенного Соглашения о взаимодействии в сфере обработки персональных данных (поручения оператора) между Службой Республики Коми строительного, жилищного и технического надзора (контроля) и государственным автономным учреждением Республики Коми "Центр информационных технологий" от 12.05.2017.

6.2. Служба может поручить обработку персональных данных иным третьим лицам в случаях, если:

- субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом "О персональных данных");

- это необходимо для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей;

- в других случаях, предусмотренных законодательством Российской Федерации.

Трансграничная передача персональных данных не осуществляется.

6.3. Защита персональных данных

6.3.1. Система защиты персональных данных, обрабатываемых в Службе включает в себя совокупность организационных, технических и физических мер по защите информации, в соответствии с требованиями нормативных правовых актов в области защиты персональных, а именно:

- Федеральный Закон РФ от 27.07.2006 г. N 152-ФЗ "О персональных данных";

- Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Постановление Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами;

- Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных осуществляемой без использования средств защиты автоматизации";

- Приказ ФСБ России от 10.07.2014 г. N 378 Москва "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении требований состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

6.3.2. Организационные меры по защите персональных данных включают в себя:

- назначение ответственного лица за организацию обработки персональных данных;

- регламентирование следующих процессов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, в том числе во время чрезвычайных ситуаций;

- осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации;

- определения оценки вреда субъектам персональных данных;

- определения угроз безопасности персональных данных, при их обработке в информационных системах персональных данных;

- учет материальных носителей и мест хранения персональных данных;

- своевременную актуализацию списков работников, допущенных к обработке персональных данных в информационных системах персональных данных и без использования средств автоматизации;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- присвоение статуса контролируемой зоны, для отдельных помещений, с расположенным в них оборудованием, оказывающим повышенное влияние на автоматизированные процессы обработки информации (в том числе персональных данных) в организации.

- разграничение ответственности между работниками Службы.

6.3.3. Технические меры по защите персональных данных включают в себя:

- использование и настройку средств защиты информации (от несанкционированного доступа, криптографических, антивирусных, средств межсетевого экранирования и т.п.), прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- настройку механизмов операционной системы: локальные и групповые политики учетных записей, аудита и параметров безопасности.

6.3.4. Меры по физической защите персональных данных включают в себя:

- контроль доступа сотрудников и посетителей на территорию Службы, в том числе в контролируемую зону.

Оценка вреда, меры но обеспечению безопасности персональных данных

Таблица 1. Соотношение возможного вреда и принимаемых мер

Категории данных	Оценка вреда	Меры но обеспечению безопасности
Общедоступные персональные данные; Первичные учетные данные (ФИО, пол)	не приводит к негативным последствиям для субъектов персональных данных;	- назначено лицо, ответственное за организацию обработки персональных данных;
Контактная информация (место жительства, место работы, дата и место рождения, номер телефона и т.п.)	может привести к незначительным негативным последствиям для субъектов персональных данных;	- назначено лицо, ответствен