Правила обработки персональных данных
ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Государственного автономного учреждения Республики Марий Эл
«Информационное агентство
«Марий Эл»
(ГАУ Республики Марий Эл «ИА «Марий Эл»)
1. Общие положения
1.1. Настоящая Политика определяет порядок создания, обработки и
защиты персональных данных граждан и
работников государственного автономного учреждения Республики Марий Эл
«Информационное агентство «Марий Эл» (далее – Учреждение).
1.2. Настоящая Политика разработана во
исполнение требований п. 2 ч. 1 ст. 18.1
Федерального закона от 27.07.2006
№ 152-ФЗ «О персональных данных» (далее – Закон о персональных
данных) в целях обеспечения защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личную и семейную тайну.
1.3. Основанием для разработки данного локального нормативного акта являются:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской федерации;
- Федеральный закон от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к
информации о деятельности государственных органов и органов местного
самоуправления»;
- Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления
государственных и муниципальных услуг»;
- Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждения
перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации;
- Постановление Правительства Российской Федерации от 21.03.2012 №211 «Об
утверждении перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных» и принятыми в
соответствии с ним нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами»;
- Федеральный закон от 27.12.1991 № 2124-I «О средствах массовой информации»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
- Федеральный закон от 27.07.2006 № 152-Фз «О персональных данных»;
- Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
- Регламентирующие документы Федеральной службы по техническому и
экспортному контролю (ФСТЭК России) об обеспечении безопасности персональных
данных:
- Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных (выписка) утвержденная ФСТЭК России
от 15.02.2008;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных» (зарегистрированный в Министерстве юстиции Российской Федерации от
14.05.2013 регистрационный номер 28375);
- Руководящий документ «Защита от несанкционированного доступа к
информации». Термины и определения. Утверждено решением председателя
Гостехкомиссии России от 30.03.1992;
- «Методические рекомендации по разработке нормативных правовых актов,
определяющих угрозы безопасности персональных данных, актуальные при обработке
персональных данных в информационных системах персональных данных,
эксплуатируемых при осуществлении соответствующих видов деятельности»,
утвержденные руководством 8 Центра ФСБ России от 31.03.2015 № 145/7/2/6-432;
- Иные нормативные акты Правительства Республики Марий Эл и Министерства культуры,
печати и по делам национальностей Республики Марий Эл в области защиты
персональных данных.
1.4. Обработка персональных данных в Учреждении осуществляется с
соблюдением принципов и условий, предусмотренных настоящей Политикой и
законодательством Российской Федерации в области персональных данных.
1.5. Персональные данные граждан относятся к категории конфиденциальной
информации. Конфиденциальность, сохранность и защита персональных данных обеспечивается
отнесением их к сфере негосударственной (служебной, персональной) тайны.
1.6. Политика действует в отношении
всех персональных данных, которые обрабатывает государственное автономное учреждение Республики Марий Эл
«Информационное агентство «Марий Эл» (далее – Оператор, ГАУ Республики Марий Эл «ИА «Марий Эл»).
1.7. Политика распространяется на отношения в области обработки
персональных данных, возникшие у Оператора как до, так и после утверждения
настоящей Политики. Действие
настоящей Политики не распространяется на отношения, возникающие при:
организации хранения, комплектования, учета и использования содержащих
персональные данные документов, имеющих статус архивных документов в
соответствии с законодательством об архивном деле в Российской Федерации,
обработке персональных данных, отнесенных в установленном порядке к сведениям,
составляющим государственную тайну.
1.8. Во исполнение
требований ч. 2 ст. 18.1 Закона «О персональных данных» настоящая Политика
публикуется в свободном доступе в информационно-телекоммуникационной сети
Интернет на сайте Оператора.
2. Термины и принятые сокращения
Для целей настоящей Политики применяются
следующие термины и определения.
Персональные данные (ПД) – любая информация,
относящаяся к прямо или косвенно определенному или определяемому физическому
лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом
персональных данных для распространения – это персональные данные, доступ
неограниченного круга лиц к которым предоставлен субъектом персональных данных
путем дачи согласия на обработку персональных данных, разрешенных субъектом
персональных данных для распространения.
Оператор персональных данных (оператор) – государственный
орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или
совместно с другими лицами организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными.
Граждане (субъекты персональных
данных) – физические
лица:
- участвующие
в процессе осуществления профессиональной деятельности Учреждения в области
массовой информации согласно пункта 8 части 1 статьи 6 Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных»;
-
обращающиеся в Учреждение с заявлениями, жалобами, предложениями и по другим
вопросам;
Законные представители граждан Российской Федерации (субъектов персональных
данных) – физические лица, предоставляющие персональные данные
погибших/умерших/ делегировавших свои права/несовершеннолетних граждан РФ на
основании родства или нотариальной доверенности для осуществления
профессиональной деятельности Учреждения как средства массовой информации;
Работники (субъекты персональных данных) – физические лица, состоящие в трудовых и иных
гражданско-правовых отношениях с Учреждением, в том числе: работники;
соискатели на замещение вакантных должностей и лица, находящиеся в кадровом
резерве (физические лица, готовящиеся вступить в трудовые или иные
гражданско-правовые отношения с Учреждением);
Обработка
персональных данных – любое действие (операция) или совокупность действий (операций) с
персональными данными, совершаемых с использованием средств автоматизации или
без их использования. Обработка персональных данных включает в себя в том
числе: сбор; запись; систематизацию; накопление; хранение; уточнение
(обновление, изменение); извлечение; использование; передачу (предоставление,
доступ); распространение; обезличивание; блокирование; удаление; уничтожение.
Автоматизированная
обработка персональных данных – обработка персональных данных с помощью
средств вычислительной техники.
Предоставление
персональных данных – действия, направленные на раскрытие персональных данных определенному
лицу или определенному кругу лиц.
Распространение
персональных данных – действия, направленные на
раскрытие персональных данных неопределенному кругу лиц.
Блокирование
персональных данных – временное прекращение обработки персональных данных (за исключением
случаев, если обработка необходима для уточнения персональных данных).
Уничтожение
персональных данных – действия, в результате которых становится невозможным восстановить
содержание персональных данных в информационной системе персональных данных и
(или) в результате которых уничтожаются материальные носители персональных
данных.
Обезличивание
персональных данных – действия, в результате которых становится
невозможным без использования дополнительной
информации определить принадлежность персональных данных конкретному субъекту
персональных данных.
Информационная
система персональных данных – совокупность содержащихся в базах данных персональных данных и
обеспечивающих их обработку, информационных технологий и технических средств.
Трансграничная
передача персональных данных – передача персональных данных на территорию
иностранного государства органу власти иностранного государства, иностранному
физическому лицу или иностранному юридическому лицу.
Защита
персональных данных – деятельность, направленная на предотвращение утечки защищаемых
персональных данных, несанкционированных и непреднамеренных воздействий на
защищаемые персональные данные.
Конфиденциальность персональных данных – операторы и иные лица, получившие доступ к
персональным данным, обязаны не раскрывать третьим лицам и не распространять
персональные данные без согласия субъекта персональных данных, если иное не
предусмотрено федеральным законодательством;
Санкционированный доступ к информации – доступ к информации, не нарушающий правила
разграничения доступа;
Несанкционированный доступ (несанкционированные
действия) – доступ к
информации, нарушающий правила разграничения доступа с использованием штатных
средств (совокупность программного, микропрограммного и технического
обеспечения средств вычислительной техники или автоматизированных систем),
предоставляемых средствами вычислительной техники или автоматизированными
системами;
Общедоступные персональные данные – персональные данные, доступ неограниченного
круга лиц к которым предоставлен с согласия субъекта персональных данных.
3. Общие принципы и условия
обработки персональных данных граждан и работников
3.1. В целях обеспечения прав и свобод
человека и гражданина, Учреждение и его представители при обработке
персональных данных гражданина или работника обязаны соблюдать следующие общие
требования:
3.1.1. Обработка персональных данных
работников может осуществляться исключительно в целях обеспечения соблюдения
законодательства Российской Федерации в области персональных данных и иных
нормативных правовых актов с учетом положений Федерального закона от 27.07.2006
№152-ФЗ «О персональных данных», оформления трудовых отношений, расчета и
выдачи заработной платы или других доходов, налоговых и пенсионных отчислений,
содействия работникам в трудоустройстве, обучении, повышении квалификации и
продвижении по службе, обеспечения личной безопасности работников, контроля
количества и качества выполняемой работы, обеспечения сохранности имущества
работодателя.
3.1.2. Обработка персональных данных
гражданина может осуществляться исключительно в целях осуществления следующих
полномочий:
- осуществление профессиональной деятельности
Учреждения как средства массовой информации на основании Федерального закона от
27.12.1991 №2124-1 «О средствах массовой информации» как в печатном виде, так и
в виде Интернет-издания;
- создание литературных, документальных,
мемориальных и прочих изданий;
- организация приема граждан, обеспечение
своевременного и полного рассмотрения устных и письменных обращений граждан,
принятие по ним решений и направление ответов в установленный
законодательствами Российской Федерации срок.
3.1.3. При определении объема и содержания
обрабатываемых персональных данных гражданина или работника Учреждение должно
руководствоваться Конституцией Российской Федерации, Трудовым кодексом,
законодательством Российской Федерации в сфере защиты персональных данных и
обработки информации, Положением Учреждения и иными локальными нормативными
актами в области защиты персональных данных.
3.1.4. Все персональные данные гражданина
следует получать у него самого или у его полномочного представителя. Если
персональные данные гражданина возможно получить только у третьей стороны, то
гражданин должен быть уведомлен об этом заранее и от него должно быть получено
письменное согласие;
3.1.5. Учреждение не имеет права получать и
обрабатывать персональные данные гражданина или работника, касающиеся расовой,
национальной принадлежности, политических взглядов, религиозных или философских
убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральными
законами. В случаях, непосредственно связанных с вопросами трудовых отношений,
в соответствии со статьей 24 Конституции Российской Федерации, работодатель
вправе получать и обрабатывать данные о частной жизни работника только с его
письменного согласия.
3.1.6. Запрещается принятие на основании
исключительно автоматизированной обработки персональных данных решений,
порождающих юридические последствия в отношении гражданина и работника или иным
образом затрагивающих его права и законные интересы, за исключением случаев,
предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных
данных».
3.1.7. Решение, порождающее юридические
последствия в отношении гражданина или работника, или иным образом
затрагивающее его права и законные интересы, может быть принято на основании
исключительно автоматизированной обработки его персональных данных только при наличии
согласия в письменной форме гражданина и работника, или в случаях,
предусмотренных Федеральным законодательством, устанавливающим также меры по
обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.1.8. Учреждение обязано разъяснить
гражданину и работнику порядок принятия решения на основании исключительно
автоматизированной обработки его персональных данных и возможные юридические
последствия такого решения, предоставить возможность заявить возражение против
такого решения, а также разъяснить порядок защиты гражданином и работником
своих прав и законных интересов.
3.1.9. Учреждение обязано рассмотреть
возражение в течение тридцати дней со дня регистрации письменного обращения и
уведомить гражданина/работника о результатах рассмотрения такого возражения.
3.1.10. Защита персональных данных граждан и
работников от неправомерного их использования или утраты должна быть обеспечена
Учреждением за счет своих средств, в порядке, установленном Федеральным
законодательством и другими нормативными документами.
3.1.11. Работники или их представители должны
быть ознакомлены под личную подпись с документами Учреждения, устанавливающими
порядок обработки персональных данных работников, а также об их правах и
обязанностях в этой области.
3.2. Обработка персональных данных граждан и
работников осуществляется на основе принципов:
3.2.1. Обработка персональных данных должна
ограничиваться достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с целями сбора
персональных данных.
3.2.2. Обработка персональных данных должна
осуществляться на законной и справедливой основе.
3.2.3. Обработке подлежат только персональные
данные, которые отвечают целям их обработки.
3.2.4. Не допускается объединение баз данных,
содержащих персональные данные, обработка которых осуществляется в целях,
несовместимых между собой.
3.2.5. Обработке подлежат только персональные
данные, которые отвечают целям их обработки.
3.2.6. При обработке персональных данных
должны быть обеспечены точность персональных данных, их достаточность, а в
необходимых случаях и актуальность по отношению к целям обработки персональных
данных. Учреждение должно принимать необходимые меры либо обеспечивать их
принятие по удалению или уточнению неполных или неточных данных.
3.2.7. Содержание и объем обрабатываемых
персональных данных должны соответствовать заявленным целям обработки.
Обрабатываемые персональные данные не должны быть избыточными по отношению к
заявленным целям их обработки.
3.2.8. Хранение персональных данных должно
осуществляться в форме, позволяющей определить субъекта персональных данных, не
дольше, чем этого требуют цели обработки персональных данных, если срок
хранения персональных данных не установлен федеральным законом, договором,
стороной которого выгодоприобретателем или поручителем по которому является
субъект персональных данных. Обрабатываемые персональные данные подлежат
уничтожению либо обезличиванию по достижении целей обработки или в случае
утраты необходимости в достижении этих целей, если иное не предусмотрено
федеральным законодательством.
3.3 Учреждение вправе поручить обработку
персональных данных другому лицу с согласия гражданина, если иное не
предусмотрено федеральным законом, на основании заключаемого с этим лицом
договора, в том числе государственного или муниципального контракта, либо путем
принятия государственным или муниципальным органом соответствующего акта (далее
– поручение Учреждения). Лицо, осуществляющее обработку персональных данных по
поручению Учреждения, обязано соблюдать принципы и правила обработки
персональных данных, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ
«О персональных данных». В поручении Учреждения должны быть определены перечень
действий (операций) с персональными данными, которые будут совершаться лицом,
осуществляющим обработку персональных данных, и цели обработки, должна быть
установлена обязанность такого лица соблюдать конфиденциальность персональных
данных и обеспечивать безопасность персональных данных при их обработке, а
также должны быть указаны требования к защите обрабатываемых персональных
данных в соответствии со статьей 19 Федерального закона от 27.07.2006 №152-ФЗ
«О персональных данных».
3.4. Лицо, осуществляющее обработку
персональных данных по поручению Учреждения, не обязано получать согласие
гражданина на обработку его персональных данных.
3.5. В случае если Учреждение поручает
обработку персональных данных другому лицу, ответственность перед гражданином
за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку
персональных данных по поручению Учреждения, несет ответственность перед
Учреждением.
4. Цели
сбора персональных данных
4.1. Обработка
персональных данных ограничивается достижением конкретных, заранее определенных
и законных целей.
4.2.
Цели обработки
персональных данных происходят в том числе из анализа правовых актов,
регламентирующих деятельность оператора, целей фактически осуществляемой
оператором деятельности, а также деятельности, которая предусмотрена
учредительными документами оператора, и конкретных бизнес-процессов оператора в
конкретных информационных системах персональных данных (по структурным
подразделениям оператора и их процедурам в отношении определенных категорий субъектов
персональных данных).
4.3. К целям обработки
персональных данных оператора относятся:
- заключение, исполнение
и прекращение гражданско-правовых договоров;
- организация кадрового
учета организации, обеспечение соблюдения законов, заключение и исполнение
обязательств по трудовым и гражданско-правовым договорам;
- ведение кадрового
делопроизводства, содействие работникам в трудоустройстве, обучении и
продвижении по службе, пользовании льготами;
- исполнение требований
налогового законодательства по вопросам исчисления и уплаты налога на доходы
физических лиц, взносов во внебюджетные фонды и страховых взносов во
внебюджетные фонды, пенсионного законодательства при формировании и передаче в
ПФР персонифицированных данных о каждом получателе доходов, которые учитываются
при начислении взносов на обязательное пенсионное страхование;
- заполнение первичной
статистической документации в соответствии с трудовым, налоговым
законодательством и иными федеральными законами.
5.
Получение персональных данных у субъектов персональных данных
5.1. Получение
персональных данных преимущественно осуществляется путем представления их самим
гражданином/законным представителем или работником, на основании его письменного
согласия, за исключением случаев, прямо предусмотренных действующим
законодательством Российской Федерации. В случаях, предусмотренных федеральным
законодательством, обработка персональных данных осуществляется только с
согласия гражданина/законного представителя и работника в письменной форме.
Равнозначным содержащему собственноручную подпись гражданина/законного
представителя и работника согласию в письменной форме на бумажном носителе
признается согласие в форме электронного документа, подписанного в соответствии
с федеральным законом электронной подписью.
5.2.
Содержание и объем обрабатываемых персональных данных соответствуют заявленным
целям обработки. Обрабатываемые персональные данные не должны быть избыточными
по отношению к заявленным целям их обработки.
5.3. Обработка
персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия
субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения
договора, стороной которого либо выгодоприобретателем или поручителем, по
которому является субъект персональных данных, а также для заключения договора
по инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем;
- обработка
персональных данных необходима для защиты жизни, здоровья или иных жизненно
важных интересов субъекта персональных данных, если получение согласия субъекта
персональных данных невозможно;
- обработка
персональных данных необходима для осуществления прав и законных интересов
оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным
законом «О защите прав и законных интересов физических лиц при осуществлении
деятельности по возврату просроченной задолженности» и о внесении изменений в
Федеральный закон «О микрофинансовой деятельности и микрофинансовых
организациях», либо для достижения общественно значимых целей при условии, что
при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для
осуществления профессиональной деятельности журналиста и (или) законной
деятельности средства массовой информации либо научной, литературной или иной
творческой деятельности при условии, что при этом не нарушаются права и
законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в
статистических или иных исследовательских целях, за исключением целей,
указанных в статье 15 Федерального закона «О персональных данных», при условии
обязательного обезличивания персональных данных; - осуществляется обработка
персональных данных, доступ неограниченного круга лиц к которым предоставлен
субъектом персональных данных либо по его просьбе (далее – персональные данные,
сделанные общедоступными субъектом персональных данных); осуществляется
обработка персональных данных, подлежащих опубликованию или обязательному
раскрытию в соответствии с федеральным законом.
5.4. К
категориям субъектов персональных данных относятся:
1) Работники
оператора, бывшие работники, кандидаты на замещение вакантных должностей, а
также родственники работников.
В данной категории субъектов оператором
обрабатываются персональные данные в связи с реализацией трудовых отношений:
фамилия, имя, отчество; пол; гражданство; национальность; дата (число, месяц,
год) и место рождения (страна, республика, край, область, район, город,
поселок, деревня, иной населенный пункт); адрес места проживания (почтовый
индекс, страна, республика, край, область, район, город, поселок, деревня, иной
населенный пункт, улица, дом, корпус, квартира); сведения о регистрации по
месту жительства или пребывания (почтовый индекс, страна, республика, край,
область, район, город, поселок, деревня, иной населенный пункт, улица, дом,
корпус, квартира); номера телефонов (домашний, мобильный, рабочий), адрес
электронной почты; замещаемая должность; сведения о трудовой деятельности
(наименования организаций (органов) и занимаемых должностей, продолжительность
работы (службы) в этих организациях (органах)); идентификационный номер
налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата
(число, месяц, год) выдачи свидетельства); данные документа, подтверждающего
регистрацию в системе индивидуального (персонифицированного) учета, в том числе
в форме электронного документа; данные полиса обязательного медицинского
страхования; данные паспорта или иного удостоверяющего личность документа; данные
паспорта, удостоверяющего личность гражданина Российской Федерации за пределами
территории Российской Федерации; данные трудовой книжки, вкладыша в трудовую
книжку; сведения о воинском учете (серия, номер, дата (число, месяц, год)
выдачи, наименование органа, выдавшего военный билет, военно-учетная
специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о
прохождении военной службы, о пребывании в запасе, о медицинском
освидетельствовании и прививках); сведения об образовании (наименование
образовательной организации, дата (число, месяц, год) окончания, специальность
и квалификация, ученая степень, звание, реквизиты документа об образовании и о
квалификации); сведения о получении дополнительного профессионального
образования (дата (число, месяц, год), место, программа, реквизиты документов,
выданных по результатам); сведения о владении иностранными языками (иностранный
язык, уровень владения); сведения о судимости (наличие (отсутствие) судимости,
дата (число, месяц, год) привлечения к уголовной ответственности (снятия или
погашения судимости), статья); сведения о дееспособности (реквизиты документа,
устанавливающие опеку (попечительство), основания ограничения в дееспособности,
реквизиты решения суда); сведения об участии в управлении хозяйствующим
субъектом (за исключением жилищного, жилищно-строительного, гаражного
кооперативов, садоводческого, огороднического, дачного потребительских
кооперативов, товарищества собственников недвижимости и профсоюза,
зарегистрированного в установленном порядке), занятии предпринимательской
деятельностью; сведения, содержащиеся в медицинском заключении установленной
формы об отсутствии у гражданина заболевания, препятствующего поступлению на
гражданскую службу или ее прохождению (наличие (отсутствие) заболевания, форма
заболевания); сведения о наградах, иных поощрениях и знаках отличия (название
награды, поощрения, знака отличия, дата (число, месяц, год) присвоения,
реквизиты документа о награждении или поощрении); сведения о дисциплинарных
взысканиях; сведения, содержащиеся в материалах служебных проверок; сведения о
семейном положении (состояние в браке (холост (не замужем), женат (замужем),
повторно женат (замужем), разведен(а), вдовец (вдова), с какого времени в
браке, с какого времени в разводе, количество браков, состав семьи, реквизиты
свидетельства о заключении брака); сведения о близких родственниках,
свойственниках (степень родства, фамилия, имя, отчество, дата (число, месяц,
год) и место рождения, место и адрес работы (службы), адрес места жительства,
сведения о регистрации по месту жительства или пребывания); сведения,
содержащиеся в справках о доходах, расходах, об имуществе и обязательствах
имущественного характера; номер расчетного счета; информация об оформленных
допусках к государственной тайне; фотографии; [иные сведения].
2) Клиенты
и контрагенты оператора (физические лица);
В
данной категории субъектов оператором обрабатываются персональные данные,
полученные оператором в связи с заключением договора, стороной которого
является субъект персональных данных, и используемые оператором исключительно
для исполнения указанного договора и заключения договоров с субъектом персональных
данных: фамилия, имя, отчество; пол; гражданство; дата (число, месяц, год)
и место рождения (страна, республика, край, область, район, город, поселок,
деревня, иной населенный пункт); адрес места проживания (почтовый индекс,
страна, республика, край, область, район, город, поселок, деревня, иной
населенный пункт, улица, дом, корпус, квартира); сведения о регистрации по
месту жительства или пребывания (почтовый индекс, страна, республика, край,
область, район, город, поселок, деревня, иной населенный пункт, улица, дом,
корпус, квартира); номера телефонов (домашний, мобильный, рабочий), адрес
электронной почты;
замещаемая должность; идентификационный номер
налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата
(число, месяц, год) выдачи свидетельства); данные паспорта или иного
удостоверяющего личность документа; сведения об участии в управлении
хозяйствующим субъектом (за исключением жилищного, жилищно-строительного,
гаражного кооперативов, садоводческого, огороднического, дачного
потребительских кооперативов, товарищества собственников недвижимости и
профсоюза, зарегистрированного в установленном порядке), занятии
предпринимательской деятельностью; номер расчетного счета; [иные сведения].
3) Представители/работники
клиентов и контрагентов оператора (юридических лиц).
В данной категории субъектов оператором
обрабатываются персональные данные, полученные оператором в связи с заключением
договора, стороной которого является клиент/контрагент (юридическое лицо), и
используемые оператором исключительно для исполнения указанного договора: фамилия,
имя, отчество; пол; номера телефонов
(домашний, мобильный, рабочий), адрес электронной почты; замещаемая должность; данные
паспорта или иного удостоверяющего личность документа; сведения об участии в
управлении хозяйствующим субъектом (за исключением жилищного,
жилищно-строительного, гаражного кооперативов, садоводческого, огороднического,
дачного потребительских кооперативов, товарищества собственников недвижимости и
профсоюза, зарегистрированного в установленном порядке), занятии
предпринимательской деятельностью; [иные сведения].
5.5. Обработка специальных категорий персональных данных, касающихся
расовой, национальной принадлежности, политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни, допускается:
- в случае, если субъект персональных данных дал согласие
в письменной форме на обработку своих персональных данных;
- в соответствии с законодательством о государственной
социальной помощи, трудовым законодательством, пенсионным законодательством
Российской Федерации.
5.6. Согласие гражданина/законного представителя и работника в
письменной форме на обработку его персональных данных должно включать в себя, в
частности, помимо перечисленных сведений по категориям субъектов персональных
данных, указанных в п. 5.4: - цель
обработки персональных данных;
- перечень персональных данных, на обработку которых
дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению Учреждения, если
обработка будет поручена такому лицу;
- перечень действий с персональными данными, на
совершение которых дается согласие, общее описание используемых Учреждением
способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта
персональных данных, а также способ его отзыва, если иное не установлено
Федеральным законодательством;
- подпись субъекта персональных данных. Для обработки
персональных данных, содержащихся в согласии в письменной форме гражданина и
работника на обработку его персональных данных, дополнительное согласие не
требуется.
5.7.
В случае необходимости проверки персональных данных гражданина или работника Учреждение
заблаговременно должно сообщить об этом гражданину/законному представителю или
работнику, о целях, предполагаемых источниках и способах получения персональных
данных, а также о характере подлежащих получению персональных данных и
последствиях отказа гражданина или работника дать письменное согласие на их
получение.
5.8 Обработка персональных данных работника осуществляется на основании
Положения о работе с персональными данными работников, утвержденного
руководителем Учреждения.
6.
Порядок и условия обработки персональных данных
6.1. Оператор осуществляет
обработку персональных данных – операции, совершаемые с использованием средств
автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (предоставление,
доступ), обезличивание, блокирование, удаление, уничтожение персональных
данных.
6.2. Обработка персональных
данных осуществляется с соблюдением принципов и правил, предусмотренных
Федеральным законом «О персональных данных».
6.3. Обработка персональных данных оператором ограничивается достижением
конкретных, заранее определенных и законных целей. Обработке подлежат только
персональные данные, которые отвечают целям их обработки. Содержание и объем
обрабатываемых персональных данных должны соответствовать заявленным целям
обработки.
6.4. Обработка персональных
данных граждан и работников Учреждения осуществляется смешанным путем:
- неавтоматизированным способом обработки персональных данных;
- автоматизированным способом обработки персональных данных (с помощью ПЭВМ
и специальных программных продуктов).
6.5. Персональные данные при их
обработке, осуществляемой без использования средств автоматизации, должны
обособляться от иной информации, в частности путем фиксации их на отдельных
материальных носителях персональных данных (далее – материальные носители), в
специальных разделах или на полях форм (бланков). При фиксации персональных
данных на материальных носителях не допускается фиксация на одном материальном
носителе персональных данных, цели, обработки которых заведомо не совместимы.
Для обработки различных категорий персональных данных, осуществляемой без
использования средств автоматизации, для каждой категории персональных данных
должен использоваться отдельный материальный носитель.
6.6. Условием прекращения обработки
персональных данных может являться достижение целей обработки персональных
данных, истечение срока действия согласия или отзыв согласия субъекта
персональных данных на обработку его персональных данных, а также выявление
неправомерной обработки персональных данных.
6.7. Оператор вправе поручить
обработку персональных данных другому лицу на основании заключаемого с этим
лицом договора, в том числе государственного или муниципального контракта.
6.8. Лицо, осуществляющее
обработку персональных данных по поручению оператора, обязано соблюдать
принципы и правила обработки персональных данных, предусмотренные Федеральным
законом «О персональных данных».
6.9. Согласие на обработку
персональных данных, разрешенных субъектом персональных данных для
распространения, оформляется отдельно от иных согласий субъекта персональных
данных на обработку его персональных данных. Оператор обязан обеспечить
субъекту персональных данных возможность определить перечень персональных
данных по каждой категории персональных данных, указанной в согласии на
обработку персональных данных, разрешенных субъектом персональных данных для
распространения.
6.10. Передача
(распространение, предоставление, доступ) персональных данных, разрешенных
субъектом персональных данных для распространения, должна быть прекращена в
любое время по требованию субъекта персональных данных. Данное требование
должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию
(номер телефона, адрес электронной почты или почтовый адрес) субъекта
персональных данных, а также перечень персональных данных, обработка которых
подлежит прекращению. Указанные в данном требовании персональные данные могут
обрабатываться только оператором, которому оно направлено.
6.11. Оператор обязан
принимать меры, необходимые и достаточные для обеспечения выполнения
обязанностей, предусмотренных Федеральным законом «О персональных данных» и
принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень
мер оператор определяет самостоятельно.
7.
Порядок и условия обработки биометрических персональных данных
7.1. К биометрическим персональным
данным относятся сведения, которые характеризуют физиологические и биологические
особенности человека, на основании которых можно установить его личность и
которые используются оператором для установления личности субъекта персональных
данных.
7.2. Обработка биометрических
персональных данных может осуществляться только при наличии согласия в
письменной форме субъекта персональных данных, за исключением случаев,
связанных с реализацией международных договоров Российской Федерации о
реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в
связи с проведением обязательной государственной дактилоскопической
регистрации, а также в случаях, предусмотренных законодательством Российской
Федерации об обороне, о безопасности, о противодействии терроризму, о
транспортной безопасности, о противодействии коррупции, об оперативно-розыскной
деятельности, о государственной службе, уголовно-исполнительным
законодательством Российской Федерации, законодательством Российской Федерации
о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве
Российской Федерации.
7.3. Обработка биометрических
персональных данных осуществляется оператором в соответствии с требованиями к
защите биометрических персональных данных, установленными в соответствии со
статьей 19 Федерального закона «О персональных данных».
7.4. Использование и хранение
биометрических персональных данных вне информационных систем персональных
данных могут осуществляться только на таких материальных носителях информации и
с применением такой технологии ее хранения, которые обеспечивают защиту этих
данных от неправомерного или случайного доступа к ним, их уничтожения,
изменения, блокирования, копирования, предоставления, распространения.
7.5. Под материальным носителем
понимается машиночитаемый носитель информации (в том числе магнитный и
электронный), на котором осуществляются запись и хранение сведений,
характеризующих физиологические особенности человека и на основе которых можно
установить его личность.
7.6. Оператор утверждает порядок
передачи материальных носителей уполномоченным лицам.
7.7. Материальный носитель должен
использоваться в течение срока, установленного оператором, осуществившим запись
биометрических персональных данных на материальный носитель, но не более срока
эксплуатации, установленного изготовителем материального носителя.
7.8. Оператор обязан:
- осуществлять учет
количества экземпляров материальных носителей;
- осуществлять присвоение
материальному носителю уникального идентификационного номера, позволяющего точно
определить оператора, осуществившего запись биометрических персональных данных
на материальный носитель.
7.9. Технологии хранения
биометрических персональных данных вне информационных систем персональных
данных должны обеспечивать:
- доступ к информации,
содержащейся на материальном носителе, для уполномоченных лиц;
- применение средств
электронной подписи или иных информационных технологий, позволяющих сохранить
целостность и неизменность биометрических персональных данных, записанных на
материальный носитель;
- проверку наличия
письменного согласия субъекта персональных данных на обработку его
биометрических персональных данных или наличия иных оснований обработки
персональных данных, установленных законодательством Российской Федерации в сфере
отношений, связанных с обработкой персональных данных.
7.10. При хранении биометрических
персональных данных вне информационных систем персональных данных должна
обеспечиваться регистрация фактов несанкционированной повторной и
дополнительной записи информации после ее извлечения из информационной системы
персональных данных.
8. Защита
персональных данных субъектов персональных данных
8.1. Безопасность персональных
данных при их обработке в информационной системе обеспечивается с помощью
системы защиты персональных данных, нейтрализующей актуальные угрозы,
определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных
данных».
8.2. Учреждение при обработке
персональных данных граждан и работников обязано принимать необходимые
правовые, организационные и технические меры или обеспечивать их принятие для
защиты персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, предоставления,
распространения персональных данных, а также от иных неправомерных действий в
отношении персональных данных.
8.3. Выбор средств защиты информации
для системы защиты персональных данных осуществляется оператором в соответствии
с нормативными правовыми актами, принятыми Федеральной службой безопасности
Российской Федерации и Федеральной службой по техническому и экспортному
контролю во исполнение части 4 статьи 19 Федерального закона «О персональных
данных».
8.4.
Система защиты персональных данных включает в себя организационные и (или)
технические меры, определенные с учетом актуальных угроз безопасности
персональных данных и информационных технологий, используемых в информационных
системах.
8.5. Обеспечение безопасности
персональных данных граждан и работников достигается, в частности:
1) определением угроз
безопасности персональных данных при их обработке в информационных системах
персональных данных;
2) применением прошедших
в установленном порядке процедур оценки соответствия средств защиты информации;
3) применением
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных,
необходимых для выполнения требований к защите персональных данных, исполнение
которых обеспечивает установленные Постановлением Правительства Российской
Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных
данных при их обработке в информационных системах персональных данных»;
4) оценкой эффективности
принимаемых мер по обеспечению безопасности персональных данных до ввода в
эксплуатацию информационной системы персональных данных;
5) учетом машинных
носителей персональных данных;
6) обнаружением фактов
несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением
персональных данных, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
8) установлением правил
доступа к персональным данным, обрабатываемым в информационной системе
персональных данных, а также обеспечением регистрации и учета всех действий,
совершаемых с персональными данными в информационной системе персональных
данных;
9) контролем за принимаемыми
мерами по обеспечению безопасности персональных данных и уровня защищенности
информационных систем персональных данных.
8.6. Для обеспечения безопасности
персональных данных гражданина и работника при автоматизированной обработке
предпринимаются следующие меры:
1) Все действия при автоматизированной
обработке персональных данных граждан и работников осуществляются только
должностными лицами, согласно Списка должностей, утвержденного Приказом
руководителя Учреждения, и только в объеме, необходимом данным лицам для
выполнения своей трудовой функции. Данный Список должностей работников
предусматривает замещение указанных должностей работников в соответствии с п.п.
«б» п. 1 Постановления Правительства Российской Федерации от 21.03.2012 № 211
«Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных данных» и
принятыми в соответствии с ним нормативными правовыми актами, операторами,
являющимися государственными или муниципальными органами».
2)
Персональные компьютеры, имеющие доступ к базам хранения персональных
данных граждан и работников, защищены паролями доступа. Пароли устанавливаются
Администратором информационной безопасности и сообщаются индивидуально работнику,
допущенному к работе с персональными данными и осуществляющему обработку
персональных данных граждан и работников на данном персональном компьютере.
8.7. Для обеспечения безопасности
персональных данных граждан и работников при неавтоматизированной обработке
предпринимаются следующие меры:
1) Определяются места хранения персональных
данных, которые оснащаются средствами защиты:
- В кабинетах, где осуществляется хранение
документов, содержащих персональные данные граждан и работников, имеются сейфы,
шкафы, стеллажи, тумбы.
- Дополнительно кабинеты,
где осуществляется хранение документов, оборудованы замками и пожарной
сигнализацией.
2) Все действия по неавтоматизированной
обработке персональных данных граждан и работников осуществляются только
должностными лицами, согласно Списка должностей, утвержденного Приказом
руководителя Учреждения, и только в объеме, необходимом данным лицам для
выполнения своей трудовой функции. Данный Список должностей работников
предусматривает замещение указанных должностей работников в соответствии с п.п.
«б» п. 1 Постановления Правительства Российской Федерации от 21.03.2012 № 211
«Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных данных» и
принятыми в соответствии с ним нормативными правовыми актами, операторами,
являющимися государственными или муниципальными органами».
3) При обработке персональных данных на
материальных носителях не допускается фиксация на одном материальном носителе
тех данных, цели обработки которых заведомо не совместимы. При несовместимости
целей обработки персональных данных, зафиксированных на одном материальном
носителе, если не имеется возможности осуществлять их отдельно, должны быть
приняты следующие меры:
- при
необходимости использования или распространения определенных персональных
данных отдельно от находящихся на том же материальном носителе других
персональных данных осуществляется копирование подлежащих распространению или
использованию, способом, исключающим одновременное копирование персональных
данных, не подлежащих распространению и использованию, и используется
(распространяется) только копия;
- при необходимости уничтожения или блокирования
части персональных данных уничтожается или блокируется материальный носитель с
предварительным копированием сведений, не подлежащих уничтожению или
блокированию, способом, исключающим одновременное копирование персональных
данных, подлежащих уничтожению или блокированию. Уничтожение или обезличивание
части персональных данных, если это допускается материальным носителем, может
производиться способом, исключающим дальнейшую обработку этих персональных
данных с сохранением возможности обработки иных данных, зафиксированных на
материальном носителе (удаление). Персональные данные граждан и работников,
содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении
персональных данных. Эти правила применяются также в случае, если необходимо
обеспечить раздельную обработку зафиксированных на одном материальном носителе
персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования
средств автоматизации производится путем обновления или изменения данных на
материальном носителе, а если это не допускается техническими особенностями
материального носителя – путем фиксации на том же материальном носителе
сведений о вносимых в них изменениях, либо путем изготовления нового
материального носителя с уточненными персональными данными.
4) Обработка персональных данных
осуществляется с соблюдением порядка, предусмотренного Постановлением
Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях
обработки персональных данных, осуществляемой без использования средств
автоматизации».
5) Иные меры, предусмотренные Положением по
организации и проведению работ по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных.
8.8. Режим конфиденциальности персональных
данных снимается в случаях их обезличивания и по истечении срока их хранения, в
соответствии с приказами по архивному делу, или продлевается на основании
заключения экспертной комиссии Учреждения, если иное не определено
законодательством Российской Федерации.
9. Хранение,
использование и уничтожение персональных данных
9.1. Информация персонального
характера гражданина и работника хранится и обрабатывается с соблюдением
требований действующего законодательства о защите персональных данных.
9.2. Порядок хранения документов,
содержащих персональные данные работников осуществлять в соответствии с:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Перечнем типовых управленческих архивных документов, образующихся в процессе
деятельности государственных органов, органов местного самоуправления и
организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры
России от 25.08.2010 № 558;
- Правилами, устанавливающими порядок ведения и хранения трудовых книжек, а
также порядок изготовления бланков трудовой книжки и обеспечения ими
работодателей, утвержденными Постановлением Правительства Российской Федерации
от 16.04.2003 № 225 «О трудовых книжках»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
- Унифицированными формами первичной учетной документации по учету труда и
его оплаты, утвержденными Постановлением Госкомстата России от 05.01.2004 г. №
1.
9.3. Персональные данные граждан и работников хранятся на бумажных
носителях и в электронном виде.
9.4. Хранение текущей документации и оконченной производством документации,
содержащей персональные данные граждан и работников Учреждения, осуществляется
во внутренних подразделениях Учреждения, а также в помещениях Учреждения,
предназначенных для хранения отработанной документации, в соответствии с
действующим Приказом руководителя Учреждения. Ответственные лица за хранение
документов, содержащих персональные данные граждан и работников, назначены
Приказом руководителя Учреждения.
9.5. Хранение персональных данных граждан и работников осуществляется не
дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по
достижении целей обработки или в случае утраты необходимости в их достижении.
9.6. Хранение документов, содержащих персональные данные граждан и
работников, осуществляется в течение установленных действующими нормативными
актами сроков хранения данных документов. По истечении установленных сроков
хранения документы подлежат уничтожению.
9.7. Учреждение обеспечивает ограничение доступа к персональным данным
граждан и работников лицам, не уполномоченным федеральным законодательством,
либо Учреждением для получения соответствующих сведений.
9.8. Доступ к персональным данным граждан и работников без специального
разрешения имеют только должностные лица Учреждения, допущенные к работе с
персональными данными граждан и работников Приказом руководителя Учреждения.
Данным категориям работников в их должностные обязанности включается пункт об
обязанности соблюдения требований по защите персональных данных.
10. Передача персональных данных граждан и
работников третьим лицам
10.1. Передача
персональных данных граждан третьим лицам осуществляется Учреждением только с
письменного согласия гражданина, с подтверждающей визой руководителя
Учреждения, за исключением случаев, если:
1) передача необходима
для защиты жизни и здоровья гражданина, либо других лиц, и получение его
согласия невозможно;
2) в целях обследования и
лечения гражданина, не способного из-за своего состояния выразить свою волю;
3) по запросу органов
дознания, следствия, прокуратуры и суда в связи с проведением расследования или
судебным разбирательством, в соответствии с Законом об оперативно-розыскной
деятельности;
4) при наличии оснований,
позволяющих полагать, что права и интересы гражданина могут быть нарушены
противоправными действиями других лиц;
5) в иных случаях, прямо
предусмотренных Федеральным законодательством. Лица, которым в установленном
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» порядке
переданы сведения, составляющие персональные данные гражданина, несут
дисциплинарную, административную или уголовную ответственность за разглашение в
соответствии с законодательством Российской Федерации.
10.2. При передаче персональных данных работника
третьим лицам работодатель должен соблюдать следующие требования:
1) Не сообщать
персональные данные работника третьему лицу без письменного согласия работника,
за исключением случаев, когда это необходимо в целях предупреждения угрозы
жизни и здоровью работника, а также в случаях, прямо предусмотренных
законодательством Российской Федерации.
2) Не сообщать
персональные данные работника в коммерческих целях без его письменного
согласия.
3) Предупредить лиц,
получающих персональные данные работника, о том, что эти данные могут быть
использованы лишь в целях, для которых они сообщены.
4) Не запрашивать
информацию о состоянии здоровья работника, за исключением тех сведений, которые
относятся к вопросу о возможности выполнения работником трудовой функции.
5) Передавать персональные данные работника
представителям работников в порядке, установленном Трудовым кодексом Российской
Федерации, и только в том объеме, который необходим для выполнения указанными
представителями их функций.
10.3. В целях соблюдения Федерального
законодательства и иных нормативных правовых актов Российской Федерации и
обеспечения положений трудового договора
возможна
передача:
- документов, содержащих сведения о доходах и
налогах на доходы физических лиц, сведений о пенсионных накоплениях физических
лиц в соответствии с Федеральным законодательством Российской Федерации в
Федеральные органы исполнительной власти;
- персональных данных, для осуществления
выдачи заработной платы или других доходов работника в уполномоченные
банковские организации;
- персональных данных,
для содействия работникам в трудоустройстве, обучении, повышения их
квалификации, переподготовке, проведения аттестации на квалификационную
категорию, получении грамот, наград и иных форм поощрений;
- в представительные
органы власти, уполномоченные региональные и Федеральные органы исполнительной
власти.
10.4. Передача указанных сведений и
документов осуществляется с согласия работника. Согласие работника оформляется
письменно в виде отдельного документа. После получения согласия работника
дальнейшая передача указанных сведений и документов, дополнительного
письменного согласия не требуется. В случае если лицо, обратившееся с запросом,
не уполномочено Федеральным законодательством на получение персональных данных
гражданина или работника, либо отсутствует письменное согласие гражданина или
работника на передачу его персональных данных, Учреждение обязано отказать в
предоставлении персональных данных. В данном случае лицу, обратившемуся с
запросом, выдается мотивированный отказ в предоставлении персональных данных в
письменной форме, копия отказа хранится в Учреждении.
11.
Права и обязанности гражданина в области защиты его персональных данных
11.1. В целях обеспечения
защиты персональных данных, хранящихся в Учреждении, граждане имеют право на:
- полную информацию о составе и содержимом их
персональных данных, а также способе обработки этих данных;
- свободный доступ к своим персональным
данным. Гражданин имеет право на получение информации, касающейся обработки его
персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных
данных Учреждением;
2) правовые основания и цели обработки
персональных данных;
3) цели и применяемые в Учреждении способы
обработки персональных данных;
4) наименование и место нахождения
Учреждения, сведения о лицах (за исключением работников Учреждения), которые
имеют доступ к персональным данным или которым могут быть раскрыты персональные
данные на основании договора с Учреждением или на основании Федерального закона
от 27.07.2006 № 152-ФЗ «О персональных данных»;
5) обрабатываемые персональные данные,
относящиеся к соответствующему субъекту персональных данных, источник их
получения, если иной порядок представления таких данных не предусмотрен Федеральным
законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
6) сроки обработки персональных данных, в том
числе сроки их хранения;
7) порядок осуществления субъектом
персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о
предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и
адрес лица, осуществляющего обработку персональных данных по поручению
Учреждения, если обработка поручена или будет поручена такому лицу;
10) иные
сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О
персональных данных» или Федеральным законодательством.
11.2. Сведения должны быть предоставлены
гражданину Учреждением в доступной форме, и в них не должны содержаться
персональные данные, относящиеся к другим субъектам персональных данных, за
исключением случаев, если имеются законные основания для раскрытия таких
персональных данных.
11.3. Сведения предоставляются гражданину или
его представителю Учреждением при обращении, либо при получении запроса
гражданина или его представителя.
11.4. В случае выявления неправомерной
обработки персональных данных при обращении гражданина или его представителя
либо по запросу гражданина или его представителя, либо уполномоченного органа
по защите прав субъектов персональных данных Учреждение обязано осуществить
блокирование неправомерно обрабатываемых персональных данных, относящихся к
этому субъекту персональных данных, или обеспечить их блокирование (если
обработка персональных данных осуществляется другим лицом, действующим по
поручению Учреждения) с момента такого обращения или получения указанного
запроса на период проверки.
11.5. В случае выявления неточных
персональных данных при обращении гражданина или его представителя либо по их запросу
или по запросу уполномоченного органа по защите прав субъектов персональных
данных Учреждение обязано осуществить блокирование персональных данных,
относящихся к этому субъекту персональных данных, или обеспечить их
блокирование (если обработка персональных данных осуществляется другим лицом,
действующим по поручению Учреждения) с момента такого обращения или получения
указанного запроса на период проверки, если блокирование персональных данных не
нарушает права и законные интересы гражданина или третьих лиц.
11.6. В случае подтверждения факта неточности
персональных данных Учреждение на основании сведений, представленных
гражданином или его представителем либо уполномоченным органом по защите прав
субъектов персональных данных, или иных необходимых документов, обязано
уточнить персональные данные либо обеспечить их уточнение (если обработка
персональных данных осуществляется другим лицом, действующим по поручению
Учреждения) в течение семи рабочих дней со дня представления таких сведений и
снять блокирование персональных данных.
11.7. В случае выявления неправомерной
обработки персональных данных, осуществляемой Учреждением (или лицом,
действующим по поручению Учреждения), Учреждение в срок, не превышающий трех
рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку
персональных данных или обеспечить прекращение неправомерной обработки
персональных данных лицом, действующим по поручению Учреждения. В случае если
обеспечить правомерность обработки персональных данных невозможно, Учреждение в
срок, не превышающий десяти рабочих дней с даты выявления неправомерной
обработки персональных данных, обязано уничтожить такие персональные данные или
обеспечить их уничтожение. Об устранении допущенных нарушений или об
уничтожении персональных данных Учреждение обязано уведомить гражданина или его
представителя, а в случае, если обращение гражданина или его представителя либо
запрос уполномоченного органа по защите прав субъектов персональных данных были
направлены уполномоченным органом по защите прав субъектов персональных данных,
также указанный орган.
11.8. В случае достижения цели обработки
персональных данных Учреждение обязано прекратить обработку персональных данных
или обеспечить ее прекращение (если обработка персональных данных осуществляется
другим лицом, действующим по поручению Учреждения) и уничтожить персональные
данные или обеспечить их уничтожение (если обработка персональных данных
осуществляется другим лицом, действующим по поручению Учреждения) в срок, не
превышающий тридцати дней с даты достижения цели обработки персональных данных,
если иное не предусмотрено договором, стороной которого, выгодоприобретателем
или поручителем по которому является гражданин, иным соглашением между
Учреждением и гражданином, либо если Учреждение не вправе осуществлять
обработку персональных данных без согласия гражданина на основаниях,
предусмотренных Федеральным законом № 152-ФЗ или Федеральным законодательством.
11.9. В случае отзыва гражданином согласия на
обработку его персональных данных Учреждение обязано прекратить их обработку
или обеспечить прекращение такой обработки (если обработка персональных данных
осуществляется другим лицом, действующим по поручению Учреждения) и в случае,
если сохранение персональных данных более не требуется для целей обработки
персональных данных, уничтожить персональные данные или обеспечить их
уничтожение (если обработка персональных данных осуществляется другим лицом,
действующим по поручению Учреждения) в срок, не превышающий тридцати дней с
даты поступления указанного отзыва, если иное не предусмотрено договором,
стороной которого, выгодоприобретателем или поручителем по которому является
субъект персональных данных, иным соглашением между Учреждением и гражданином,
либо если Учреждение не вправе осуществлять обработку персональных данных без
согласия субъекта персональных данных на основаниях, предусмотренных
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
11.10. В случае отсутствия возможности уничтожения
персональных данных в течение указанного срока, Учреждение осуществляет
блокирование таких персональных данных или обеспечивает их блокирование (если
обработка персональных данных осуществляется другим лицом, действующим по
поручению Учреждения) и обеспечивает уничтожение персональных данных в срок не
более чем шесть месяцев, если иной срок не установлен Федеральным
законодательством.
11.11. Для своевременной и полной реализации
своих прав гражданин обязан предоставить Учреждению достоверные персональные
данные.
12. Право на обжалование
действий или бездействия Учреждения
12.1. Если гражданин, его законный
представитель или работник Учреждения считает, что Учреждение осуществляет
обработку его персональных данных с нарушением требований Федерального закона
от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его
права и свободы, он вправе обжаловать действия или бездействие Учреждения в
уполномоченный орган по защите прав субъектов персональных данных (Федеральный
орган исполнительной власти, осуществляющий функции по контролю и надзору в
сфере информационных технологий и связи) или в судебном порядке.
12.2. Гражданин и работник Учреждения имеют
право на защиту своих прав и законных интересов, в том числе на возмещение
убытков и (или) компенсацию морального вреда в судебном порядке. Моральный
вред, причиненный гражданину или работнику вследствие нарушения его прав,
нарушения правил обработки персональных данных, а также требований к защите
персональных данных, установленных в соответствии с Федеральным законом от
27.07.2006 № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии
с законодательством Российской Федерации. Возмещение морального вреда
осуществляется независимо от возмещения имущественного вреда и понесенных
субъектом персональных данных убытков.
13. Ответственность за нарушение норм,
регулирующих обработку и защиту персональных данных граждан и работников
13.1. Лица, виновные в нарушении норм,
регулирующих получение, обработку и защиту персональных данных гражданина и
работника, несут дисциплинарную, административную, гражданско-правовую или
уголовную ответственность в соответствии с федеральным законодательством.
13.2. Работники Учреждения, допущенные к
обработке персональных данных граждан и работников, за разглашение полученной в
ходе своей трудовой деятельности информации, несут дисциплинарную,
административную или уголовную ответственность в соответствии с действующим
законодательством Российской Федерации.
14.
Заключительные положения
14.1. Настоящая Политика вступает в силу с
даты ее утверждения.
14.2. При необходимости приведения настоящей
Политики в соответствие с вновь принятыми законодательными актами, изменения
вносятся на основании Приказа руководителя Учреждения.
14.3. Настоящая Политика распространяется на
всех граждан и работников, а также работников Учреждения, имеющих доступ и
осуществляющих перечень действий с персональными данными граждан и работников.
Граждане, а также их законные представители имеют право ознакомится с настоящей
Политикой. Работники Учреждения подлежат ознакомлению с данным документом в
порядке, предусмотренном Приказом руководителя Учреждения, под личную роспись.
14.4. В обязанности работников,
осуществляющих первичный сбор персональных данных гражданина, входит получение
согласия гражданина/законного представителя на обработку его персональных
данных под личную подпись.
14.5. В обязанности работодателя входит
ознакомление всех работников с настоящей Политикой и лиц, принимаемых на работу
до подписания трудового договора, под личную подпись.
14.6. Документы, определяющие политику в
отношении обработки персональных данных граждан и работников, должны быть
размещены на официальном сайте marpravda.ru или информационном стенде Учреждения в
течение десяти дней после их утверждения.
