Политика обработки персональных данных

Оглавление

1. Общие положения
2. Принципы обработки персональных данных
3. Объем и категории обрабатываемых персональных данных
4. Порядок и условия обработки персональных данных
5. Меры по обеспечению безопасности персональных данных при их обработке
6. Права субъекта персональных данных и порядок их реализации
7. Обязанности оператора
8. Заключительные положения

1.1. Политика обработки персональных данных в ОАУ «Управление государственной экспертизы Липецкой области» (далее – Политика, Учреждение) подготовлена в соответствии с требованиями законодательства Российской Федерации в области персональных данных, в том числе Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных), и действует в отношении всех персональных данных, которые Учреждение может получить от субъектов персональных данных.

1.2. Учреждение, являясь оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов персональных данных при обработке их персональных данных в соответствии с обязанностями, возложенными законодательством в области персональных данных.

1.3. Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.

1.4. Настоящая Политика разработана в соответствии с требованиями законодательства Российской Федерации в области защиты персональных данных, подлежит пересмотру и актуализации в случае изменений в законодательстве Российской Федерации в области персональных данных, а также в случае изменений в процессах обработки персональных данных в Учреждении.

1.5. Защита персональных данных в информационной системе «Единая цифровая платформа экспертизы» обеспечивается на основании договора об оказании услуг по предоставлению облачной инфраструктуры «Единая цифровая платформа экспертизы», заключенного между Учреждением и ФАУ «Главгосэкспертиза России».

1.6. В настоящей Политике используются следующие термины:
«персональные данные» – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
«субъект персональных данных» – любое физическое лицо, передавшее Учреждению для обработки свои персональные данные;
«оператор» – Учреждение, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
«обработка персональных данных» – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.

Обработка персональных данных включает в себя в том числе:
— сбор;
— запись;
— систематизацию;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение;
— использование;
— передачу (распространение, предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение;

«автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники;
«распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
«предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
«блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
«уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
«обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
«информационная система персональных данных» – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
«трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Законом о персональных данных, на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей.

2.2. Учреждение обрабатывает персональные данные в рамках осуществления видов деятельности, предусмотренных Уставом.

2.3. Учреждение обрабатывает персональные данные в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей;
— обработка персональных данных необходима для исполнения договора с Учреждением, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для осуществления прав и законных интересов Учреждения или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения для каждой цели обработки персональных данных представлены в Таблице 1.

2.4. При обработке персональных данных Учреждением обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры (обеспечивается их принятие) по удалению или уточнению неполных, или неточных персональных данных.

2.5. Хранение Учреждением персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Законом о персональных данных или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

2.6. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей и в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных.

2.7. Сроки обработки (в том числе хранения) персональных данных, обрабатываемых оператором, определяются исходя из целей обработки персональных данных и в соответствии с требованиями законодательства Российской Федерации.

3.1. Содержание и объем обрабатываемых Учреждением персональных данных субъектов персональных данных соответствует заявленным целям обработки.

3.2. Учреждение не осуществляет обработку персональных данных, несовместимую с целями сбора, и не осуществляет сбор избыточных по отношению к целям обработки персональных данных.

3.3. В Учреждении обрабатываются персональные данные:
— работников Учреждения, бывших работников, а также лиц, входящих в состав семьи работников;
— кандидатов на замещение вакантных должностей;
— пользователей предоставляемых Учреждением услуг (выполнения работ), а также их представителей;
— контрагентов и их представителей;
— физических лиц, обратившиеся в Учреждение в установленном законодательством Российской Федерации порядке;
— физических лиц, посещающих сайты и использующих сервисы Учреждения в сети Интернет;
— посетителей Учреждения;
— иных субъектов персональных данных, с которыми Учреждение взаимодействует для реализации видов деятельности, предусмотренных Уставом.

3.4. Персональные данные, подлежащие обработке Учреждением, подразделяются на категории:
— персональные данные (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, имущественное положение, образование, профессия, доходы, другая информация, которая отвечает целям обработки), не относящиеся к персональным данным специальных категорий и биометрическим персональным данных;
— биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных);
— персональные данные о состоянии здоровья и о судимости, обрабатываемые в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, о противодействии коррупции и в иных случаях, предусмотренных законодательством Российской Федерации.

3.5. Учреждение не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

4.1. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Учреждения, определенными законодательством Российской Федерации и договорными отношениями субъекта персональных данных с Учреждением.

4.2. Обработка персональных данных в Учреждении осуществляется как неавтоматизированным способом, так и с использованием средств автоматизации с передачей персональных данных по информационно- телекоммуникационным сетям или без таковой.

4.3. При обработке персональных данных обеспечивается точность персональных данных и их достаточность, актуальность персональных данных по отношению к заявленным целям их обработки.

4.4. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем (здесь и далее по тексту под представителем понимается: родитель, опекун, попечитель и иные лица, полномочия которых установлены законодательством Российской Федерации) в любой позволяющей подтвердить факт его получения форме, за исключением случаев, предусмотренных Законом о персональных данных и иными нормативными правовыми актами, предписывающими получение согласия в письменной форме.

4.5. Получение и обработка персональных данных в случаях, предусмотренных Законом о персональных данных, осуществляется Учреждением с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

4.6. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

4.7. Учреждением могут включаться персональные данные субъектов в общедоступные источники персональных данных, при этом берется согласие субъекта в письменной форме.

4.8. Учреждение вправе продолжить обработку персональных данных без согласия субъекта персональных данных (при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, предусмотренных в пунктах 2–11 части 1 статьи 6, части 2 статьи 11 Закона о персональных данных.

4.9. Персональные данные субъекта персональных данных могут быть получены оператором не от лица, являющегося субъектом персональных данных, при условии уведомления субъекта персональных данных оператором.

4.10. Учреждение обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных.

4.11. Учреждение вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных на основании заключаемого с этой стороной договора поручения на обработку персональных данных. При этом третья сторона обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.

4.12. В случаях, когда Учреждение поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

4.13. Трансграничная передача персональных данных производится в соответствии с действующим законодательством и международными договорами Российской Федерации.

4.14. Учреждение до начала осуществления деятельности по трансграничной передаче персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных.

5.1. При обработке персональных данных Учреждение применяет необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. Обеспечение безопасности персональных данных достигается следующими мерами:
— назначение ответственного лица за организацию обработки персональных данных;
— издание локальных нормативных актов по вопросам обработки персональных данных, а также устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных;
— ознакомление работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, локальными нормативными актами по вопросам обработки персональных данных, и обучение указанных работников;
— определение (и при необходимости пересмотр) угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
— при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, предусмотренные законодательством Российской Федерации;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации средств защиты информации для нейтрализации актуальных угроз безопасности;
— проведение внутреннего контроля соблюдения законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных.

6.1. В соответствии с Законом о персональных данных субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных оператором;
— правовые основания и цели обработки персональных данных оператором;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных оператором, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
— наименование юридического лица или фамилию, имя, отчество и адрес физического лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами;

6.2. Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных, данного Учреждению.

6.4. Обращение субъекта персональных данных к Учреждению в целях реализации его прав, установленных Законом о персональных данных, рассматривается Учреждением в установленном законодательством Российской Федерации порядке.

7.1. Учреждение обязано предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации.

7.2. Если предоставление персональных данных субъектом персональных данных является обязательным в соответствии с законодательством Российской Федерации, Учреждение обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

7.3. Учреждение уведомляет субъекта персональных данных об обработке его персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных, за исключением случаев:
— субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором;
— персональные данные получены на основании Закона о персональных данных или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
— обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в соответствии с Законом о персональных данных;
— обработка персональных данных осуществляется для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
— предоставление субъекту персональных данных сведений, предусмотренных частью 3 статьи 18 Закона о персональных данных, нарушает права и законные интересы третьих лиц.

7.4. При сборе персональных данных Учреждение обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных.

7.5. Для сбора и последующей обработки персональных данных Учреждение использует базы данных, находящиеся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.

7.6. Учреждение исполняет иные обязанности, предусмотренные Законом о персональных данных.

8.1. Общий контроль за организацию работы по обработке персональных данных осуществляется директором Учреждения.

8.2. Текущий контроль соблюдения настоящего Положения осуществляет заместитель директора Учреждения, ответственный за организацию обработки персональных данных и информационную безопасность.

8.3. Положение вступает в силу с момента его утверждения и действует бессрочно, либо до утверждения нового Положения Учреждения.

8.4. Во всех иных случаях, не урегулированных данным Положением, Учреждение руководствуется законодательством Российской Федерации и иными нормативными актами.