Политика обработки персональных данных

  Политика обработки персональных данных

Приложение № 1
к приказу ГБУ Республики Марий Эл «Информсреда»
от 28 декабря 2016 г. № 17

Политика ГБУ Республики Марий Эл «Информсреда» в отношении обработки персональных данных

 

1. Основные положения

1.1. Настоящая Политика ГБУ Республики Марий Эл «Информсреда» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке и информационных системах персональных данных».

1.2. Политика определяет основные цели и назначение, а также особенности обработки персональных данных, в том числе в информационных системах персональных данных (далее – ИСПДн) в ГБУ Республики Марий Эл «Информсреда» (далее – Учреждение, Оператор).

1.3. Политика вступает в силу с момента ее утверждения директором Учреждения.

1.4. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Учреждения, а также в случаях изменения законодательства Российской Федерации в области обеспечения безопасности защищаемой информации.

1.5. Политика подлежит опубликованию на официальном сайте Учреждения.

 

2. Цели

2.1. Цели Политики:

2.1.2. Обеспечение безопасности персональных данных, содержащихся в ИСПДн Учреждения;

2.1.3. Обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Учреждением.

2.2. Назначение Политики:

разработка и/или совершенствование комплекса согласованных организационных и технических мер, направленных на обеспечение безопасности защищаемой информации.

 

3. Основные понятия

3.1. Для целей Политики используются следующие понятия:

персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. В случае обработки персональных данных под оператором понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

распространение информации — действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информация — сведения (сообщения, данные) независимо от формы их представления;

информационная система — совокупность содержащейся в базах данных защищаемой информации и обеспечивающих их обработку информационных технологий и технических средств;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

 

4. Область действия

4.1. Положения Политики распространяются на:

4.1.1. Все отношения, связанные с обработкой персональных данных, содержащихся в ИСПДн Учреждения;

4.1.2. Все отношения, связанные с обработкой персональных данных, осуществляемой Учреждением.

4.2. Политика применяется ко всем сотрудникам Учреждения.

 

5. Цели обработки информации

Обработка персональных данных (далее — ПДн) осуществляется Учреждением в следующих целях:

  • ведение кадрового учета;
  • ведение бухгалтерского учета и отчетности;
  • заключение договоров;
  • обеспечения соблюдения законов и иных нормативных правовых актов;
  • оказание услуг удостоверяющего центра и выполнение Учреждением, возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
  • исполнение иных уставных задач Учреждения.

 

6. Состав обрабатываемых персональных данных

6.1.   В соответствии с целями обработки персональных данных настоящей Политики, Учреждением осуществляется обработка ПДн следующих категорий субъектов персональных данных:

  • работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором);
  • лица, обратившиеся для замещения вакантных должностей;
  • лица, обратившиеся за прохождением учебной и производственной практики;
  • физические лица, сведения о которых обрабатываются в соответствии с исполнением договорных отношений.

6.2.   Перечень обрабатываемых ПДн утверждается приказом Учреждения.

 

7. Принципы обработки информации

7.1.   Персональные данные относятся к категории конфиденциальной информации.

Обработка персональных данных осуществляется Оператором на основе принципов:

7.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.

7.1.2. Обработка персональных данных осуществляется в соответствии с полномочиями Оператора.

7.1.3. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей.

7.1.4. Персональные данные, цели обработки которых несовместимы между собой, обрабатываются Оператором в различных базах данных.

7.1.5. Содержание и объем персональных данных соответствуют заявленным целям обработки.

7.1.6. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.

7.2. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

7.3. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

 

8. Обработка персональных данных в учреждении

8.1. Обладатель информации.

8.1.1. Обладателем информации является Учреждение.

8.1.2. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

  • разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
  • использовать информацию, в том числе распространять ее, по своему усмотрению;
  • передавать информацию другим лицам по договору или на ином установленном законом основании;
  • защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
  • осуществлять иные действия с информацией или разрешать осуществление таких действий.

8.1.3. Обладатель информации при осуществлении своих прав обязан:

  • соблюдать права и законные интересы иных лиц;
  • принимать меры по защите информации;
  • ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

8.2. Общедоступная информация.

8.2.1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

8.2.2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

8.2.3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

8.3. Право на доступ к информации.

8.3.1. Граждане (физические лица) и организации (юридические лица) (далее — организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных федеральными законами.

8.3.2. Гражданин (физическое лицо) имеет право на получение от Учреждения, его должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.

8.3.3. Организация имеет право на получение от Учреждения информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с Учреждением при осуществлении этой организацией своей уставной деятельности.

8.3.4. Не может быть ограничен доступ к:

  • нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия Учреждения;
  • информации о деятельности Учреждения, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
  • иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

8.3.5. Учреждению необходимо обеспечивать доступ, в том числе с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет», к информации о своей деятельности. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.

8.3.6. Решения и действия (бездействие) Учреждения, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящем органе или вышестоящим должностным лицом, либо в суде.

8.3.7. В случае если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством Российской Федерации.

8.3.8. Предоставляется бесплатно информация:

  • о деятельности Учреждения, размещенная Учреждением в информационно-телекоммуникационных сетях;
  • затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица;
  • иная установленная законом информация.

8.4. Ограничение доступа к информации.

8.4.1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

8.4.2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

8.4.3. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

8.5. Информационные системы персональных данных Учреждения (далее — ИСПДн).

8.5.1. Оператором ИСПДн является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационных систем.

8.5.2. Особенности эксплуатации ИСПДн устанавливаются в соответствии с техническими регламентами, нормативными правовыми актами и иной организационно-распорядительной документацией Учреждения.

8.5.3. ИСПДн создаются и эксплуатируются с учетом требований, предусмотренных законодательством Российской Федерации.

8.5.4. Технические средства, предназначенные для обработки информации, содержащейся в информационной системе, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

8.6. Защита информации.

8.6.1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности защищаемой информации;
  • реализацию права на доступ к информации.

8.6.2. Учреждению в случаях, установленных законодательством Российской Федерации, необходимо обеспечить:

  • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  • своевременное обнаружение фактов несанкционированного доступа к информации;
  • предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  • возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  • постоянный контроль за обеспечением уровня защищенности информации.

8.6.3. Требования о защите информации, содержащейся в информационных системах персональных данных, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

 

9. Условия обработки персональных данных

9.1. Обработка персональных данных допускается в следующих случаях:

9.1.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными законами, осуществляется Оператором с письменного согласия субъекта персональных данных или его представителя. Равнозначным содержащему собственноручную подпись субъекта персональных данных или его представителя, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иными законами.

Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн (при отзыве субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в п.п. 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

9.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

9.1.3. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

9.1.4. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных.

9.1.5. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Оператора, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами, работниками и контрагентами Оператора.

9.2. Персональные данные субъекта могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в п.п. 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона
от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иных оснований, предусмотренных законодательством Российской Федерации.

9.3. Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники Оператора в соответствии с их должностными обязанностями.

9.4. Передача персональных данных субъектов персональных данных третьим лицам может осуществляться Оператором только в соответствии с требованиями действующего законодательства Российской Федерации.

9.5. Оператор вправе поручить обработку ПДн третьей стороне с согласия субъекта ПДн и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее – Поручение). Третья сторона, осуществляющая обработку ПДн по поручению Оператора, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», обеспечивая конфиденциальность и безопасность ПДн при их обработке.

 

10. Сроки обработки персональных данных

Сроки обработки персональных данных субъектов персональных данных определяются в соответствии с действующим законодательством Российской Федерации и иными нормативными правовыми актами.

 

11. Обязанности оператора персональных данных

11.1. Обязанности Оператора при сборе персональных данных.

11.1.1. При сборе персональных данных Учреждение предоставляет субъекту персональных данных по его просьбе запрашиваемую субъектом информацию.

11.1.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Учреждение разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

11.1.3. Если персональные данные получены не от субъекта персональных данных, Учреждение до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию (далее – информация, сообщаемая при получении персональных данных не от субъекта персональных данных):

  • наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» права субъекта персональных данных;
  • источник получения персональных данных.

11.1.4 Учреждение не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта персональных данных, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных Учреждением;

2) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

3) Учреждение осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

4) предоставление субъекту персональных данных информации, сообщаемой при получении персональных данных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.

 

12. Меры по обеспечению безопасности персональных данных при их обработке

12.1. Оператор при обработке ПДн принимает необходимые и достаточные правовые, организационные и технические меры или обеспечивает их принятие, предусмотренные законодательством в области защиты ПДн, для защиты ПДн, требующих обеспечения конфиденциальности, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

12.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям законодательства в области ПДн и принятым в соответствии с ним нормативным правовым актам.

12.3. Обеспечение безопасности ПД достигается, в частности:

  • назначением ответственного за организацию обработки ПДн;
  • разработкой и внедрением локальных актов по вопросам обработки ПДн;
  • определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • учетом машинных носителей информации;
  • установление правил доступа к ПД;
  • ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку ПДн, а также хранятся носители информации;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
  • внесением ПДн (не являющиеся общедоступными, требующими соблюдения конфиденциальности) в перечень конфиденциальной информации Оператора;
  • получением обязательства о неразглашении сведений конфиденциального характера, в том числе ПДн, со всех работников Оператора непосредственно участвующих в обработке ПДн;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • ознакомление работников Оператора непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами по вопросам обработки ПДн;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн.

12.4. Внутренний контроль за соответствием обработки ПДн законодательству и принятым в соответствии с ним нормативным правовым актам осуществляется в порядке, установленном Постановлением Правительства Российской Федерации
от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

 

13. Сферы ответственности

13.1. Лица, ответственные за организацию обработки и защиты персональных данных, содержащихся в информационных системах персональных данных Учреждения.

13.1.1. Учреждение назначает лицо, ответственное за организацию обработки персональных данных.

13.1.2. Учреждение назначает лицо, ответственное за защиту персональных данных, содержащихся в ИСПДн Учреждения.

13.1.3. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от директора Учреждения и подотчетно ему.

13.1.4. Учреждение предоставляет лицу, ответственному за организацию обработки персональных данных, содержащихся в ИСПДн Учреждения, необходимые сведения.

13.2. Ответственность.

13.2.1. Лица, виновные в нарушении требований Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

13.2.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

13.2.3. Нарушение требований Федерального закона
от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

13.2.4. Лица, права и законные интересы которых были нарушены в связи с разглашением защищаемой информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

13.2.5. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации несет лицо, оказывающее услуги:

  • либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
  • либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

 

14. Ключевые результаты

При достижении целей ожидаются следующие результаты:

  • обеспечение безопасности персональных данных, обрабатываемых Учреждением, в том числе содержащихся в ИСПДн Учреждения;
  • обеспечение защиты прав и свобод субъектов персональных данных при обработке его персональных данных Учреждением;
  • повышение общего уровня информационной безопасности Учреждения.