Приложение. Политика обработки персональных данных государственной жилищной инспекции Краснодарского края. Приказ государственной жилищной инспекции Краснодарского края от 04.08.2020 N 191 "Об организации обработки и обеспечении безопасности информации и персональных данных в государственной жилищной инспекции Краснодарского края" (с изменениями и дополнениями)

Приложение

Утверждено
приказом государственной
жилищной инспекции
Краснодарского края
от 04.08.2020 N 191

Политика
обработки персональных данных государственной жилищной инспекции Краснодарского края

1. Общие положения

1.1. Назначение политики.

Настоящий документ (далее - Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры, защиты персональных данных в государственной жилищной инспекции Краснодарского края (далее - Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Основные понятия.

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Основные права Оператора.

Оператор оставляет за собой право проверить полноту и точность предоставленных персональных данных. В случае выявления ошибочных или неполных персональных данных, Оператор имеет право прекратить все отношения с субъектом персональных данных.

1.4. Основные обязанности Оператора.

Оператор не собирает персональные данные, не обрабатывает и не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.5. Основные права субъекта.

Субъект персональных данных имеет право:

1) получить сведения, касающиеся обработки его персональных данных Оператором;

2) потребовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) отозвать согласие на обработку персональных данных в предусмотренных законом случаях.

2. Цели сбора персональных данных

Целями обработки персональных данных в государственной жилищной инспекции Краснодарского края являются:

1) ведение кадровых резервов;

2) исполнение контрольных и надзорных функций;

3) исполнение договора с контрагентами;

4) предоставление государственных и муниципальных услуг;

5) работа с обращениями граждан;

6) организация учета работников (служащих).

3. Правовые основания обработки персональных данных

Оператор обрабатывает персональные данные, руководствуясь следующими, нормативными правовыми документами:

- Федеральный закон от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации";

- Федеральный закон от 25 декабря 2008 г. N 273-ФЗ "О противодействий коррупции";

- Федеральный закон от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

- Федеральный закон от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации";

- Федеральный закон от 6 октября 1999 г. N 184-ФЗ "Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации";

- Федеральный закон от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности";

- Федеральный закон от 21 июля 2014 г. N 209-ФЗ "О государственной информационной системе жилищно-коммунального хозяйства"

- ст. ст. 86-90 Трудового кодекса Российской Федерации;

- Жилищный кодекс Российской Федерации;

- Кодекс об административных правонарушениях Российской Федерации;

- Указ Президента Российской Федерации от 30 мая 2005 г. N 609 "О персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- Указ Президента Российской Федерации от 1 февраля 2005 г. N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации";

- постановление Правительства Российской Федерации от 11 июня 2013 г. N 493 "О государственном жилищном надзоре";

- постановление Правительства Российской Федерации от 28 октября 2014 г. N 1110 "О лицензировании предпринимательской деятельности по управлению многоквартирными домами";

- постановление главы администрации Краснодарского края от 5 октября 2006 г. N 861 "О государственной жилищной инспекции Краснодарского края";

- Закон Краснодарского края от 2 марта 2012 г. N 2445-КЗ "О порядке организации и осуществления регионального государственного контроля (надзора) и муниципального контроля на территории Краснодарского края";

- Закон Краснодарского края от 31 мая 2005 г. N 870-КЗ "О государственной гражданской службе Краснодарского края";

- Договорами с контрагентами.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Оператор осуществляет на законной и справедливой основе обработку персональных данных следующих физических лиц (субъектов ПДн):

Цель "ведение кадровых резервов" достигается посредством обработки персональных данных следующих, категорий для следующих субъектов:

1) кандидаты на замещение вакантной должности:

Иные категории: фамилия, имя, отчество, год рождения, дата рождения, адрес регистрации (проживания), место рождения, контактные сведения, паспортные данные, сведения о воинском учёте, образование, информация о трудовой деятельности, ИНН, СНИЛС, семейное положение, состав семьи, гражданство, степень родства, сведения о доходах, сведения об имуществе, сведения о счетах в банках и иных кредитных организациях, наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или её прохождению, подтверждённого заключением медицинского учреждения, сведения о последнем месте государственной или муниципальной службы, владение иностранными языками и языками народов Российской Федерации, классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены), пребывание за границей (когда, где, с какой целью), допуск к государственной тайне, оформленный за период работы, службы, учёбы (форма, номер и дата), результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования, фотография, сведения о наличии (отсутствии) судимости.

Объем: менее чем 100 000 субъектов персональных данных.

2) ближайшие родственники кандидатов на замещение вакантных должностей:

Иные категории: фамилия" имя, отчество, год рождения, дата рождения, место рождения, гражданство, степень родства, адрес регистрации (проживания), постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей) о доходах, об имуществе и обязательствах имущественного характера.

Объем: менее чем 100 000 субъектов персональных данных.

Цель "исполнение контрольных и надзорных функций" достигается посредством обработки персональных данных следующих категорий для следующих субъектов;

1) лица, участвующие в мероприятиях по контролю и надзору:

Иные категории; фамилия, имя, отчество, год рождения, место рождения, адрес регистрации (проживания), дата рождения, контактные сведения, паспортные данные, гражданство, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, ИНН, СНИЛС, ОГРНИП.

Объем; менее чем 100 000 субъектов персональных данных.

2) граждане;

Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес регистрации (проживания), контактные сведения, паспортные данные., сведения о льготах, СНИЛС.

Объем; менее чем 100 000 субъектов персональных данных.

Цель "исполнение договора с контрагентом" достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

1) контрагенты:

Иные категории: фамилия, имя, отчество, адрес регистрации (проживания), контактные сведения, ИНН, СНИЛС гражданство, паспортные данные, сведения о счетах в банках и иных кредитных организациях, ОГРНИП, аффилированность.

Объем: менее чем 100 000 субъектов персональных данных.

Цель "предоставление государственных и муниципальных услуг" достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

1) представители соискателей лицензии:

Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес регистрации (проживания), контактные сведения, паспортные данные, профессия, образование, информация о трудовой деятельности, ИНН, ОГРНИП, сведения о ранее выданных лицензиях, аффилированность.

Объем: менее чем 100 000 субъектов персональных данных.

Цель "работа с обращениями граждан" достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

1) граждане:

Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес регистрации (проживания), контактные сведения, паспортные данные.

Объем: менее чем 100 000 субъектов персональных данных.

Цель "организация учета работников (служащих)" достигается посредством обработки персональных данных следующих категорий для следующих субъектов;

1) уволенные (уволившиеся) работники (служащие):

Иные категории: фамилия, имя, отчество, год рождения, дата рождения, адрес регистрации (проживания), место рождения, контактные сведения, паспортные данные, сведения о воинском учёте, образование, информация о трудовой деятельности, ИНН, СНИЛС, семейное положение, состав семьи, гражданство, степень родства, сведения о доходах, сведения об имуществе, сведения о счетах в банках и иных кредитных организациях, наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или её прохождению, подтверждённого заключением медицинского учреждения, сведения о последнем месте государственной или муниципальной службы, владение иностранными языками и языками народов Российской Федерации, классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем. и когда присвоены), пребывание за границей (когда, где, с какой целью), допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата), результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования, фотография, сведения о наличии (отсутствии) судимости.

Объем; менее чем 100 000 субъектов персональных данных.

2) ближайшие родственники работника (служащего):

Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, гражданство, степень родства, адрес регистрации (проживания), постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей) о доходах, об имуществе и обязательствах имущественного характера.

Объем: менее чем 100 000 субъектов персональных данных.

3) работники (служащие):

Иные категории: фамилия, имя, отчество, год рождения, дата рождения, адрес регистрации (проживания), место рождения, контактные сведения, паспортные данные, сведения о воинском учёте, образование, информация о трудовой деятельности, ИНН, СНИЛС, медицинский полис ОМС, семейное положение, состав семьи, гражданство, степень родства, сведения о доходах, сведения об имуществе, сведения о счетах в банках и иных кредитных организациях, наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или её прохождению, подтверждённого заключением медицинского учреждения, сведения о последнем месте государственной или муниципальной службы, владение иностранными языками и языками народов Российской Федерации, классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены), пребывание за границей (когда, где, с какой целью), допуск к государственной тайне, оформленный за период работы, службы, учёбы (форма, номер и. дата), результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования, фотография, сведения о наличии (отсутствии) судимости.

Объем: менее чем 100 000 субъектов персональных данных.

5. Порядок и условия обработки персональных данных

5.1. Перечень действий с персональными данными, осуществляемых Оператором.

Оператором осуществляются следующие действия с персональными данными: передача (предоставление, доступ), накопление, сбор, уточнение (обновление, изменение), хранение, удаление, запись, систематизация, извлечение, использование.

5.2. Способы обработки персональных данных.

Оператором применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.

5.3. Передача персональных данных третьим лицам.

В случае поручения обработки персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий: в отношении персональных данных, в том числе: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей: персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.

При. передаче персональных данных на основе федерального закона условия передачи персональных данных устанавливаются соответствующим федеральным законом.

5.4. Обеспечение безопасности персональных данных Оператором достигается, в частности следующими мерами:

1) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

2) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых защитных мер;

3) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону N 152-ФЗ и внутренним документам Оператора по вопросам обработки персональных данных;

4) ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

5) издание политики Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

6) учет машинных носителей персональных данных;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) назначение Ответственного за организацию обработки персональных данных;

9) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);

10) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

11) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

12) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

13) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.5. Базы персональных данных Оператора находятся полностью в пределах территории Российской Федерации.

5.6. Сроки обработки персональных данных.

Персональные данные субъектов, обрабатываемые Оператором, подлежат уничтожению либо обезличиванию в случае:

1) достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;

2) прекращения деятельности Оператора.

5.7. Условия обработки персональных данных без использования средств автоматизации.

При обработке персональных данных, осуществляемой без использования средств автоматизации, Оператор выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

6. Регламент реагирования на запросы обращения субъектов персональных данных и их представителей

При обращении, запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона N 152-ФЗ.

Субъект или его законный представитель может воспользоваться формами запросов, указанными в приложениях 1-3 к данной Политике.

Доступ субъекта персональных данных или его законного представителя к своим персональным данным Оператор предоставляет только под контролем ответственного за организацию обработки персональных данных Оператора,

Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

Запрос в письменной или электронной форме субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.

Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.

В случае, если данных предоставленных субъектом недостаточно для установления его личности, или предоставление персональных данных нарушают конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона N 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.

Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные

данные субъекта по согласованию с руководителем этого структурного подразделения.

Сведения, о наличии персональных данных Оператор предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных,

Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя.

7. Регламент реагирования на запросы обращения уполномоченных органов

В соответствии с частью 4 статьи 20 Федерального закона N 152-ФЗ Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней, с даты получения такого запроса.

Сбор сведений для составления мотивированного ответа, на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением работников Оператора.

В течение установленного срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

Заместитель руководителя инспекции

Ю.А. Шеян