Политика в отношении обработки персональных данных в Министерстве цифровой экономики и конкуренции Ульяновской области
- Настоящее Положение об обработке персональных данных (далее – Положение) определяет порядок получения, хранения, обработки, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в Министерстве развития конкуренции и экономики Ульяновской области (далее – Оператор) в соответствии с законодательством Российской Федерации.
- Настоящее Положение разработано в соответствии с:
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Для целей настоящего Положения используются следующие основные понятия:
использование персональных данных – действия с персональными данными, совершаемые сотрудниками Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер обеспечения конфиденциальности информации о конкретном субъекте персональных данных.
- Остальные понятия и термины используются в настоящем Положении в том значении, которое придаёт им Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Порядок получения персональных данных (далее – ПДн).
- Все ПДн следует получать лично у субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн и последствиях отказа субъекта ПДн дать письменное согласие на их получение.
- Письменное согласие субъекта ПДн на обработку его ПДн должно включать в себя:
- фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
- наименование и адрес Оператора;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дается согласие субъекта ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;
- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;
- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта ПДн.
- Оператор не имеет права получать и обрабатывать ПДн субъекта о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности.
- Сотрудники Оператора имеют право получать только те ПДн, которые необходимы им для выполнения своих служебных обязанностей.
- Сотрудники Оператора, получающие ПДн, обязаны соблюдать установленный в отношении этих ПДн режим конфиденциальности.
- Порядок обработки ПДн.
- Обработка ПДн может осуществляться только для достижения заявленных целей их обработки.
- При определении объёма и содержания, обрабатываемых ПДн, Оператор должен руководствоваться Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными федеральными законами в области защиты ПДн, принципом соответствия объёма и содержания обрабатываемых ПДн заявленным целям их обработки.
- Оператор не имеет права объединять в одной базе данных ПДн, цели обработки которых не совместимы.
- При принятии решений, затрагивающих интересы субъекта ПДн, Оператор не имеет права основываться на результатах исключительно автоматизированной обработки его ПДн, кроме случаев, наличии согласия в письменной форме субъекта ПДн на принятие таких решений и случаев, предусмотренных федеральными законами.
- Съёмные электронные носители, на которые копируются ПДн, должны быть промаркированы и учтены в Журнале регистрации, учёта и выдачи сменных носителей ПДн.
- Порядок защиты ПДн.
- Защита ПДн субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена Оператором в порядке, установленном законодательством в области защиты ПДн.
- Оператор самостоятельно или с привлечением имеющих соответствующие лицензии организаций:
- назначает лицо, ответственное за организацию обработки ПДн;
- назначает постоянно действующую комиссию по проведению мероприятий по защите ПДн;
- определяет и поддерживает в актуальном состоянии перечень обрабатываемых ПДн и технических средств, применяемых при их обработке;
- составляет и поддерживает в актуальном состоянии модель угроз безопасности обрабатываемых ПДн.;
- использует информационную систему персональных данных (далее – ИСПДн) и определяет требования к уровням защищённости обрабатываемых в них ПДн в соответствии с действующим законодательством;
- назначает ответственных администраторов ИСПДн и администраторов информационной безопасности ИСПДн;
- устанавливает правила доступа к ИСПДн и обрабатываемым ими ПДн;
- разрабатывает и реализует систему организационных и технических мер по обеспечению безопасности ПДн, обрабатываемых в ИСПДн;
- осуществляет учёт машинных носителей ПДн;
- обеспечивает регистрацию действий с ПДн, обрабатываемыми в ИСПДн;
- предпринимает меры по своевременному выявлению и предотвращению попыток несанкционированного доступа к находящимся в его распоряжении ПДн;
- осуществляет контроль эффективности принимаемых им мер по обеспечению безопасности ПДн и уровня защищённости ИСПДн.
- Оператор обязан при обработке ПДн:
принимать необходимые организационные и технические меры для защиты ПДн от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий;
соблюдать порядок получения, учёта и хранения ПДн;
применять технические средства охраны и сигнализации;
взять со всех работников, связанных с получением, обработкой и защитой ПДн, обязательство о неразглашении ПДн;
привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту ПДн;
запретить допуск к ПДн сотрудников Оператора, не включённых в Перечень лиц, допущенных к обработке ПДн, обрабатываемых Оператором.
- Защита доступа к электронной базе данных, содержащей ПДн субъектов ПДн, должна обеспечиваться путем использования сертифицированных программных и программно-аппаратных средств защиты информации, предотвращающих несанкционированный доступ третьих лиц к ПДн.
- Оператор обязуется вырабатывать и внедрять меры защиты ПДн.
- Сведения о субъектах ПДн на бумажных носителях должны храниться Оператором в специально оборудованных шкафах и сейфах, которые запираются и опечатываются.
- Обязанности по хранению сведений о субъектах ПДн, заполнению, хранению и выдаче документов, содержащих ПДн, возлагаются на Ответственного за организацию обработки ПДн.
- В процессе хранения ПДн необходимо обеспечивать контроль за достоверностью и полнотой ПДн, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
- Хранение ПДн должно осуществляться не дольше, чем это необходимо для достижения целей их обработки, либо чем это определено федеральным законом, принятым в соответствии с ним нормативным актом, договором или иным документом, являющимся основанием для обработки и хранения ПДн.
- Трансграничная передача ПДн Оператором не осуществляется.
- Передача находящихся в распоряжении Оператора ПДн в пределах Российской Федерации возможна только при выполнении одного или нескольких из следующих условий:
- Имеется письменное согласие субъекта ПДн на передачу его ПДн третьему лицу, включающее наименование или фамилию, имя, отчество и адрес третьего лица, цели, сроки и способы обработки третьим лицом ПДн;
- Третье лицо является законным представителем субъекта ПДн;
- Передаваемые ПДн являются общедоступными (доступ неограниченному кругу лиц к ПДн предоставлен субъектом ПДн либо по его просьбе);
- Передача ПДн третьему лицу необходима для исполнения договора, одной из сторон которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- Передача ПДн третьему лицу производится на основании и в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Имеются иные, предусмотренные законодательством, основания для передачи ПДн третьему лицу.
- Передача ПДн третьему лицу, за исключением случаев, предусмотренных пунктом 4.2.2 и пунктом 4.2.5 настоящего Положения, осуществляется в рамках заключённого между Оператором и третьим лицом договора, который в обязательном порядке включает:
- цели и сроки обработки третьим лицом передаваемых ПДн;
- перечень действий с передаваемыми ПДн, которые могут осуществляться третьим лицом, а также способы их осуществления;
- обязанность третьего лица соблюдать конфиденциальность передаваемых ПДН и обеспечивать их безопасность при обработке, в том числе предпринимать меры по обеспечению безопасности ПДн, предусмотренные статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (кроме установленных законодательством случаев, когда обеспечение конфиденциальности ПДн не требуется).
- В случаях, когда ПДн передаются третьему лицу на основании согласия субъекта ПДн, цели, сроки и способы обработки ПДн, включаемые в договор с третьим лицом, должны соответствовать целям, срокам и способам обработки ПДн, указанным в согласии субъекта ПДн.
- Требования безопасности, предъявляемые к процедурам передачи ПДн третьему лицу, могут включаться в условия соответствующего договора или устанавливаться иным соглашением между Оператором и третьим лицом. В тех случаях, когда процедуры передачи ПДн и (или) предъявляемые к ним требования безопасности документально не определены, они определяются лицами, ответственными за обеспечение безопасности ПДн Оператора и третьего лица совместно.
- На передачу ПДн третьему лицу, осуществляемую на основании и в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе на передачу ПДн по запросу третьего лица, полномочия которого на получение соответствующих ПДн установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (органов следствия, органов государственной безопасности и т.п.), требования настоящего раздела не распространяются.
- При необходимости уничтожения ПДн Оператор должен руководствоваться следующими требованиями:
- Уничтожение ПДн осуществляется комиссией по проведению мероприятий по уничтожению ПДн. После уничтожения ПДн составляется соответствующий акт.
- Бумажные носители ПДн должны уничтожаться при помощи специального оборудования (измельчителя бумаги).
- ПДн, представленные в электронном виде, должны уничтожаться с использованием специализированного программного обеспечения, гарантирующего невозможность восстановления удалённых данных, либо путем уничтожения физического носителя содержащего такие данные.
- Проверка состояния защищённости ПДн, обрабатываемых Оператором осуществляется комиссией по проведению мероприятий по защите ПДн.
- Проверка состояния защищённости осуществляется с целью определения соответствия нормативных, организационных, практических и технических мероприятий, реализуемых Оператором, требованиям законов и иных нормативных правовых актов Российской Федерации в области информационной безопасности и защиты ПДн.
- Составляется План проведения проверок защищенности ПДн, обрабатываемых Оператором, включающий в себя:
дату и место проведения проверки;
цель проверки;
краткие сведения об объектах и способах проверки.
- Внутренняя проверка комиссии по проведению мероприятий по защите ПДн завершается подведением итогов (обобщением) результатов проверки и составлением акта о результате проверки защищенности ПДн, обрабатываемых Оператором.
- Акт должен содержать:
дату, время и место составления акта;
дату и место проведения проверки;
сведения о результатах проверки, в том числе о выявленных нарушениях и их характере;
достоверное и обоснованное изложение состояния защищённости информационной системы и ресурсов, выявленных недостатков и нарушений со ссылками на соответствующие документы и факты, выводы и предложения по их устранению с указанием конкретных сроков.
- В целях обеспечения достоверности ПДн субъект ПДн обязан:
предоставлять Оператору полные и достоверные данные о себе;
в случае изменения своих ПДн сообщать данную информацию Оператору;
- Оператор обязан:
осуществлять защиту ПДн;
вести Журнал учета обращений субъектов ПДн по вопросам обработки их ПДн;
обеспечивать хранение документации, содержащей ПДн субъектов ПДн, при этом ПДн не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
- Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
подтверждение факта обработки ПДн Оператором;
правовые основания и цели обработки ПДн;
цели и применяемые Оператором способы обработки ПДн;
наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
- Субъект ПДн имеет право на определение представителей для защиты своих законных интересов.
- Субъект ПДн имеет право требовать исключить или исправить неверные или неполные ПДн, а также ПДн, обрабатываемые с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Субъект ПДн имеет право требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта ПДн, обо всех произведённых в них исключениях, исправлениях или дополнениях.
- Субъект ПДн имеет право на обжалование в судебном порядке любых неправомерных действий или бездействии Оператора при обработке и защите его ПДн.
Лица, виновные в нарушении требований законодательства, регулирующего обработку ПДн, несут ответственность предусмотренную законодательством Российской Федерации.
__________________