Печать

Политика в отношении обработки персональных данных

СНПЧ А7 Уфа, обзоры принтеров и МФУ

Политика управления государственного жилищного надзора Белгородской области

в отношении обработки персональных данных


Содержание

Термины и определения. 74

1. Общие положения. 75

2. Принципы обработки персональных данных. 75

3. Условия обработки персональных данных. 75

3.1 Условия обработки персональных данных. 75

3.2 Конфиденциальность персональных данных. 76

3.3 Общедоступные источники персональных данных. 76

3.4 Согласие субъекта персональных данных на обработку его персональных данных. 77

3.5 Специальные категории персональных данных. 77

3.6 Биометрические персональные данные. 77

3.7 Трансграничная передача персональных данных. 77

3.8 Принятие решения на основании исключительно автоматизированной обработки. 77

4. Права субъекта персональных данных. 77

5. Обязанности оператора. 78

6. Меры, направленные на обеспечение безопасности персональных данных. 79

7. Внесение изменений в настоящую политику. 80


Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые сперсональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.


1. Общие положения

1.1 Настоящая политика в отношении обработки персональных данных (далее – Политика) определяет принципы и условия обработки персональных данных, права субъекта персональных данных, обязанности оператора, а также меры, направленные на обеспечение безопасности персональных данных в Управлении государственного жилищного надзора Белгородской области (далее – Учреждение).

1.2 Настоящая Политика разработана в соответствии со ст. 18.1 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

1.3 Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также соблюдение требований законодательства Российской Федерации.

2. Принципы обработки персональных данных

2.1 Обработка персональных данных осуществляется в соответствии со следующими принципами:

-     обработка персональных данных осуществляется на законной и справедливой основе;

-     обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

-     не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

-     не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

-     обработке подлежат только персональные данные, которые отвечают целям их обработки;

-     содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;

-     обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

-     при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки;

-     принимаются необходимые меры по удалению или уточнению неполных или неточных данных;

-     хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

-     обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Условия обработки персональных данных

3.1 Условия обработки персональных данных

3.1.1 Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3.1.2 Обработка персональных данных допускается в следующих случаях:

-     обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

-     обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

-     обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

-     обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

-     обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

-     обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

-     обработка персональных данных необходима для осуществления прав и законных интересов Учреждения или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-     обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

-     осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе
(далее – персональные данные, сделанные общедоступными субъектом персональных данных);

-     осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.1.3 Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. При этом Учреждение обязует лицо, осуществляющее обработку персональных данных по его поручению, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3.1.4 В случае, если Учреждение поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, несет ответственность перед Учреждением.

3.2 Конфиденциальность персональных данных

3.2.1 Учреждение обязуется и обязует иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.3 Общедоступные источники персональных данных

3.3.1 В случае необходимости Учреждение может включить персональные данные субъектов в общедоступные источники персональных данных, при этом берется письменное согласие субъекта персональных данных.

3.4 Согласие субъекта персональных данных на обработку его персональных данных

3.4.1 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных является конкретным, информированным и сознательным.

3.4.2 В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Учреждением.

3.4.3 В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

3.4.4 В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

3.5 Специальные категории персональных данных

3.5.1 Учреждение может осуществлять обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни в случаях, если:

-     обработка таких категорий персональных данных необходима для достижения конкретных, заранее определенных и законных целей;

-     субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

-     персональные данные сделаны общедоступными субъектом персональных данных;

-     обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно.

3.6 Биометрические персональные данные

3.6.1 Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных в Учреждении не обрабатываются.

3.7 Трансграничная передача персональных данных

3.7.1 Трансграничная передача персональных данных Учреждением не осуществляется.

3.8 Принятие решения на основании исключительно автоматизированной обработки

3.8.1 Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, не осуществляется.

3.8.2 Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

4. Права субъекта персональных данных

4.1 В соответствии с главой 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных Учреждением, а именно:

-     подтверждение факта обработки персональных данных Учреждением;

-     правовые основания и цели обработки персональных данных;

-     цели и применяемые Учреждением способы обработки персональных данных;

-     наименование и местонахождение Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании федерального закона;

-     обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-     сроки обработки персональных данных, в том числе сроки их хранения;

-     порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

-     информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-     наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;

-     иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

4.2 Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.3 Субъект персональных данных имеет право заявить возражение против принятия в его отношении решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.

4.4 Субъект персональных данных имеет право отозвать согласие на обработку его персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Учреждение вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

4.5 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

4.6 Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

4.7 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Обязанности оператора

5.1 В соответствии с главой 4 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Учреждение обязано:

-     предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных;

-     разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;

-     обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

-     до начала обработки персональных данных, полученных не от субъекта персональных данных, предоставить субъекту персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», следующую информацию: наименование либо фамилия, имя, отчество и адрес оператора или его представителя, цель обработки персональных данных и ее правовое основание, предполагаемых пользователей персональных данных, источник получения персональных данных, права субъекта персональных данных.

5.3 При обращении субъекта персональных данных Учреждение, в порядке, предусмотренном Федеральным законом от 27 июля № 152-ФЗ «О персональных данных», обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

5.4 В случае отказа в предоставлении информации Учреждение обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня получения запроса.

5.5 При обращении субъекта персональных данных Учреждение, в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, обязано внести в них необходимые изменения.

5.6 При обращении субъекта персональных данных Учреждение, в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

5.7 Учреждение обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

5.8 Учреждение обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

6. Меры, направленные на обеспечение безопасности
персональных данных

6.1 Учреждением принимаются меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

6.2 Обеспечение безопасности достигается применением мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а именно:

-     определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

-     применены правовые, организационные и технические меры по обеспечению безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

-     производится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

-     производится учет машинных носителей персональных данных;

-     производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-     обеспечивается сохранность носителей персональных данных;

-     устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечена регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

-     осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных;

-     назначен ответственный за организацию обработки персональных данных;

-     изданы документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

-     осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Учреждения в отношении обработки персональных данных, а также локальным актам оператора;

-     произведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», определено соотношение вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

-     работники Учреждения, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Учреждения в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, а также прошли обучение.

6.3 Учреждением опубликован и обеспечивается неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

7. Внесение изменений в настоящую политику

7.1 Внесение изменений в настоящую Политику производится путем издания соответствующего приказа, подписанного руководителем Учреждения.

7.2 При внесении изменений в заголовке указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента её опубликования.