Приложение. Политика в отношении обработки и защиты персональных данных в Департаменте природных ресурсов и охраны окружающей среды Вологодской области. Приказ Департамента природных ресурсов и охраны окружающей среды Вологодской области от 13.08.2019 N 253 "Об утверждении положения о Политике в отношении обработки и защиты персональных данных в Департаменте природных ресурсов и охраны окружающей среды Вологодской области" (документ не действует)

Утверждена
приказом
Департамента природных ресурсов
и охраны окружающей среды
Вологодской области
от "13".08.2019 года N 253

(приложение)

Политика
в отношении обработки и защиты персональных данных в Департаменте природных ресурсов и охраны окружающей среды Вологодской области
(далее - Политика)

I. Общие положения

1.1. Настоящий документ определяет политику в отношении обработки персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных и утвержден во исполнение статьи 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон).

1.2. Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в статьей 3 Закона, в частности:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

субъекты персональных данных - лица, претендующие на замещение должностей государственной гражданской службы, лица, замещающие должности государственной гражданской службы, а также иные физические лица, персональные данные которых обрабатываются;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

II. Политика в отношении обработки персональных данных

2.1. В зависимости от субъекта персональных данных Департамент природных ресурсов и охраны окружающей среды (далее - Оператор) обрабатывает персональные данные следующих категорий субъектов:

лиц, претендующих на замещение должностей государственной гражданской службы области Оператора, а также близких родственников;

лиц, замещающих должности государственной гражданской службы области Оператора, близких родственников государственных гражданских служащих;

лиц, претендующих на замещение должностей руководителей подведомственных учреждений, функции и полномочия учредителя, которого осуществляет Оператор, а также близких родственников, лиц, замещающих данные должности;

иных физических лиц, персональные данные которых представлены Оператору в рамках исполнения полномочий (функций) в соответствии с законодательством Российской Федерации и Положением о Департаменте природных ресурсов и охраны окружающей среды Вологодской области, утвержденным постановлением Правительства области от 05.04.2010 N 362.

2.2. Оператор руководствуется следующими принципами по установлению целей обработки персональных данных:

- осуществление обработки персональных данных на законной и справедливой основе;

- различие целей обработки персональных данных в зависимости от категорий субъектов персональных данных и (или) в зависимости от отдельных групп субъектов персональных данных, относящихся к одной категории, при этом цели обработки должны быть конкретные, заранее определенные и законные, а обработка персональных данных должна ограничиваться достижением этих целей;

- соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;

- соблюдение Оператором при обработке персональных данных принципов и правил обработки, установленных законодательством Российской Федерации.

2.3. Оператор руководствуется сроками обработки персональных данных в зависимости от категорий субъектов персональных данных и с учетом положений нормативных правовых актов Российской Федерации, а также с учетом условий договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

2.4. Оператор осуществляет обработку персональных данных субъектов в случаях, установленных законодательством Российской Федерации в области персональных данных. Одним из таких случаев является предоставление субъектом согласия на обработку его персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Оператор обеспечивает получение конкретного, информированного и сознательного согласия субъекта на обработку его персональных данных. Если иное не предусмотрено Федеральным законом, следующие действия осуществляются Оператором только при наличии согласия субъекта персональных данных:

поручение обработки персональных данных другому лицу на основании заключаемого с этим лицом договора;

раскрытие и распространение персональных данных третьим лицам.

Кроме того, согласие субъекта персональных данных требуется в иных случаях, предусмотренных законодательством Российской Федерации.

Когда согласие необходимо, Оператор его получает в любой позволяющей подтвердить факт его получения форме, за исключением случаев, когда в соответствии с Федеральным законом обработка персональных данных осуществляется только с согласия в письменной форме.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва согласия на обработку персональных данных Оператор продолжает обработку персональных данных, если это не противоречит законодательству о персональных данных.

2.5. Права субъекта персональных данных

2.5.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Состав предоставляемых сведений, а также порядок, правила и сроки их предоставления установлены настоящей Политикой и иными положениями Закона. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

2.5.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2.5.3. Иные права субъекта персональных данных, в том числе право на обжалование действий или бездействия Оператора, установлены Законом.

2.6. Права и обязанности Оператора

2.6.1. Оператор вправе:

- предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных;

- продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных Законом;

- мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации,

2.6.2. Обязанности Оператора:

При обработке персональных данных Оператор обязан соблюдать безопасность и конфиденциальность обрабатываемых персональных данных, а также выполнять иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.

III. Сведения о реализуемых требованиях к защите персональных данных

3.1. Оператор реализует следующие требования законодательства в области персональных данных:

- требования о соблюдении конфиденциальности персональных данных;

- требования об обеспечении реализации субъектом персональных данных своих прав (в т.ч. на доступ к информации);

- требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению или уточнению неполных или неточных данных);

- требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- иные требования законодательства,

3.2. В соответствии с ч. 1 ст. 18.1 Закона и, если иное не предусмотрено Законом или другими федеральными законами, Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных. В частности, защита персональных данных достигается Оператором путем;

- издания Оператором настоящей Политики, а также разработки иной документации с учетом требований законодательства в области персональных данных;

- организацией доступа работников к информации, содержащей персональные данные субъектов персональных данных, в соответствии с их должностными (функциональными) обязанностями;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

- соблюдение работниками, допущенными к обработке персональных данных субъектов, требований,

- установленных законодательством Российской Федерации в области персональных данных и локальными нормативными актами Оператора.

IV. Сведения о принятых мерах

4.1. В целях выполнения требований, предусмотренных Законом, Оператор принимает следующие меры:

4.1.1. Назначает ответственных лиц за обработку и защиту персональных данных.

4.1.2. Утверждает: Положение об обработке и защите персональных данных Департамента природных ресурсов и охраны окружающей среды Вологодской области, другие локальные акты, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

V. Заключительные положения

5.1. Настоящая Политика является внутренним документом Оператора.

5.2. Во исполнение ч. 2 ст. 18.1 Закона настоящая Политика должна быть опубликована или неограниченный доступ к ней должен быть обеспечен иным образом.

5.3. Локальные нормативные акты Оператора должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.