Политика в отношении обработки персональных данных в Министерстве развития конкуренции и экономики Ульяновской области

  1. Общие положения

 

  • Настоящее Положение об обработке персональных данных (далее – Положение) определяет порядок получения, хранения, обработки, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в Министерстве развития конкуренции и экономики Ульяновской области (далее – Оператор) в соответствии с законодательством Российской Федерации.
  • Настоящее Положение разработано в соответствии с:

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

  • Для целей настоящего Положения используются следующие основные понятия:

использование персональных данных – действия с персональными данными, совершаемые сотрудниками Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер обеспечения конфиденциальности информации о конкретном субъекте персональных данных.

  • Остальные понятия и термины используются в настоящем Положении в том значении, которое придаёт им Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

 

  1. Получение, обработка и защита персональных данных

 

  • Порядок получения персональных данных (далее – ПДн).
    • Все ПДн следует получать лично у субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн и последствиях отказа субъекта ПДн дать письменное согласие на их получение.
    • Письменное согласие субъекта ПДн на обработку его ПДн должно включать в себя:
  • фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
  • наименование и адрес Оператора;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых дается согласие субъекта ПДн;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта ПДн.
    • Оператор не имеет права получать и обрабатывать ПДн субъекта о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности.
    • Сотрудники Оператора имеют право получать только те ПДн, которые необходимы им для выполнения своих служебных обязанностей.
    • Сотрудники Оператора, получающие ПДн, обязаны соблюдать установленный в отношении этих ПДн режим конфиденциальности.
  • Порядок обработки ПДн.
    • Обработка ПДн может осуществляться только для достижения заявленных целей их обработки.
    • При определении объёма и содержания, обрабатываемых ПДн, Оператор должен руководствоваться Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными федеральными законами в области защиты ПДн, принципом соответствия объёма и содержания обрабатываемых ПДн заявленным целям их обработки.
    • Оператор не имеет права объединять в одной базе данных ПДн, цели обработки которых не совместимы.
    • При принятии решений, затрагивающих интересы субъекта ПДн, Оператор не имеет права основываться на результатах исключительно автоматизированной обработки его ПДн, кроме случаев, наличии согласия в письменной форме субъекта ПДн на принятие таких решений и случаев, предусмотренных федеральными законами.
    • Съёмные электронные носители, на которые копируются ПДн, должны быть промаркированы и учтены в Журнале регистрации, учёта и выдачи сменных носителей ПДн.
  • Порядок защиты ПДн.
    • Защита ПДн субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена Оператором в порядке, установленном законодательством в области защиты ПДн.
    • Оператор самостоятельно или с привлечением имеющих соответствующие лицензии организаций:
  • назначает лицо, ответственное за организацию обработки ПДн;
  • назначает постоянно действующую комиссию по проведению мероприятий по защите ПДн;
  • определяет и поддерживает в актуальном состоянии перечень обрабатываемых ПДн и технических средств, применяемых при их обработке;
  • составляет и поддерживает в актуальном состоянии модель угроз безопасности обрабатываемых ПДн.;
  • использует информационную систему персональных данных (далее – ИСПДн) и определяет требования к уровням защищённости обрабатываемых в них ПДн в соответствии с действующим законодательством;
  • назначает ответственных администраторов ИСПДн и администраторов информационной безопасности ИСПДн;
  • устанавливает правила доступа к ИСПДн и обрабатываемым ими ПДн;
  • разрабатывает и реализует систему организационных и технических мер по обеспечению безопасности ПДн, обрабатываемых в ИСПДн;
  • осуществляет учёт машинных носителей ПДн;
  • обеспечивает регистрацию действий с ПДн, обрабатываемыми в ИСПДн;
  • предпринимает меры по своевременному выявлению и предотвращению попыток несанкционированного доступа к находящимся в его распоряжении ПДн;
  • осуществляет контроль эффективности принимаемых им мер по обеспечению безопасности ПДн и уровня защищённости ИСПДн.
    • Оператор обязан при обработке ПДн:

принимать необходимые организационные и технические меры для защиты ПДн от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий;

соблюдать порядок получения, учёта и хранения ПДн;

применять технические средства охраны и сигнализации;

взять со всех работников, связанных с получением, обработкой и защитой ПДн, обязательство о неразглашении ПДн;

привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту ПДн;

запретить допуск к ПДн сотрудников Оператора, не включённых в Перечень лиц, допущенных к обработке ПДн, обрабатываемых  Оператором.

  • Защита доступа к электронной базе данных, содержащей ПДн субъектов ПДн, должна обеспечиваться путем использования сертифицированных программных и программно-аппаратных средств защиты информации, предотвращающих несанкционированный доступ третьих лиц к ПДн.
  • Оператор обязуется вырабатывать и внедрять меры защиты ПДн.

 

  1. Хранение персональных данных

 

  • Сведения о субъектах ПДн на бумажных носителях должны храниться Оператором в специально оборудованных шкафах и сейфах, которые запираются и опечатываются.
  • Обязанности по хранению сведений о субъектах ПДн, заполнению, хранению и выдаче документов, содержащих ПДн, возлагаются на Ответственного за организацию обработки ПДн.
  • В процессе хранения ПДн необходимо обеспечивать контроль за достоверностью и полнотой ПДн, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
  • Хранение ПДн должно осуществляться не дольше, чем это необходимо для достижения целей их обработки, либо чем это определено федеральным законом, принятым в соответствии с ним нормативным актом, договором или иным документом, являющимся основанием для обработки и хранения ПДн.

 

  1. Передача ПДн

 

  • Трансграничная передача ПДн Оператором не осуществляется.
  • Передача находящихся в распоряжении Оператора ПДн в пределах Российской Федерации возможна только при выполнении одного или нескольких из следующих условий:
    • Имеется письменное согласие субъекта ПДн на передачу его ПДн третьему лицу, включающее наименование или фамилию, имя, отчество и адрес третьего лица, цели, сроки и способы обработки третьим лицом ПДн;
    • Третье лицо является законным представителем субъекта ПДн;
    • Передаваемые ПДн являются общедоступными (доступ неограниченному кругу лиц к ПДн предоставлен субъектом ПДн либо по его просьбе);
    • Передача ПДн третьему лицу необходима для исполнения договора, одной из сторон которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
    • Передача ПДн третьему лицу производится на основании и в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • Имеются иные, предусмотренные законодательством, основания для передачи ПДн третьему лицу.
  • Передача ПДн третьему лицу, за исключением случаев, предусмотренных пунктом 4.2.2 и пунктом 4.2.5 настоящего Положения, осуществляется в рамках заключённого между Оператором и третьим лицом договора, который в обязательном порядке включает:
  • цели и сроки обработки третьим лицом передаваемых ПДн;
  • перечень действий с передаваемыми ПДн, которые могут осуществляться третьим лицом, а также способы их осуществления;
  • обязанность третьего лица соблюдать конфиденциальность передаваемых ПДН и обеспечивать их безопасность при обработке, в том числе предпринимать меры по обеспечению безопасности ПДн, предусмотренные статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (кроме установленных законодательством случаев, когда обеспечение конфиденциальности ПДн не требуется).
    • В случаях, когда ПДн передаются третьему лицу на основании согласия субъекта ПДн, цели, сроки и способы обработки ПДн, включаемые в договор с третьим лицом, должны соответствовать целям, срокам и способам обработки ПДн, указанным в согласии субъекта ПДн.
    • Требования безопасности, предъявляемые к процедурам передачи ПДн третьему лицу, могут включаться в условия соответствующего договора или устанавливаться иным соглашением между Оператором и третьим лицом. В тех случаях, когда процедуры передачи ПДн и (или) предъявляемые к ним требования безопасности документально не определены, они определяются лицами, ответственными за обеспечение безопасности ПДн Оператора и третьего лица совместно.
    • На передачу ПДн третьему лицу, осуществляемую на основании и в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе на передачу ПДн по запросу третьего лица, полномочия которого на получение соответствующих ПДн установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (органов следствия, органов государственной безопасности и т.п.), требования настоящего раздела не распространяются.

 

  1. Уничтожение ПДн

 

  • При необходимости уничтожения ПДн Оператор должен руководствоваться следующими требованиями:
    • Уничтожение ПДн осуществляется комиссией по проведению мероприятий по уничтожению ПДн. После уничтожения ПДн составляется соответствующий акт.
    • Бумажные носители ПДн должны уничтожаться при помощи специального оборудования (измельчителя бумаги).
    • ПДн, представленные в электронном виде, должны уничтожаться с использованием специализированного программного обеспечения, гарантирующего невозможность восстановления удалённых данных, либо путем уничтожения физического носителя содержащего такие данные.

 

  1. Внутренние проверки состояния защищённости ИСПДн

 

  • Проверка состояния защищённости ПДн, обрабатываемых Оператором осуществляется комиссией по проведению мероприятий по защите ПДн.
  • Проверка состояния защищённости осуществляется с целью определения соответствия нормативных, организационных, практических и технических мероприятий, реализуемых Оператором, требованиям законов и иных нормативных правовых актов Российской Федерации в области информационной безопасности и защиты ПДн.
  • Составляется План проведения проверок защищенности ПДн, обрабатываемых Оператором, включающий в себя:

дату и место проведения проверки;

цель проверки;

краткие сведения об объектах и способах проверки.

  • Внутренняя проверка комиссии по проведению мероприятий по защите ПДн завершается подведением итогов (обобщением) результатов проверки и составлением акта о результате проверки защищенности ПДн, обрабатываемых Оператором.
  • Акт должен содержать:

дату, время и место составления акта;

дату и место проведения проверки;

сведения о результатах проверки, в том числе о выявленных нарушениях и их характере;

достоверное и обоснованное изложение состояния защищённости информационной системы и ресурсов, выявленных недостатков и нарушений со ссылками на соответствующие документы и факты, выводы и предложения по их устранению с указанием конкретных сроков.

 

 

 

  1. Обязанности субъекта ПДн и Оператора

 

  • В целях обеспечения достоверности ПДн субъект ПДн обязан:

предоставлять Оператору полные и достоверные данные о себе;

в случае изменения своих ПДн сообщать данную информацию Оператору;

  • Оператор обязан:

осуществлять защиту ПДн;

вести Журнал учета обращений субъектов ПДн по вопросам обработки их  ПДн;

обеспечивать хранение документации, содержащей ПДн субъектов ПДн, при этом ПДн не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

 

  1. Права субъекта ПДн в целях защиты персональных данных

 

  • Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

подтверждение факта обработки ПДн Оператором;

правовые основания и цели обработки ПДн;

цели и применяемые Оператором способы обработки ПДн;

наименование и место нахождения Оператора, сведения о лицах (за исключением   сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;

сроки обработки ПДн, в том числе сроки их хранения;

порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

  • Субъект ПДн имеет право на определение представителей для защиты своих законных интересов.
  • Субъект ПДн имеет право требовать исключить или исправить неверные или неполные ПДн, а также ПДн, обрабатываемые с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Субъект ПДн имеет право требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта ПДн, обо всех произведённых в них исключениях, исправлениях или дополнениях.
  • Субъект ПДн имеет право на обжалование в судебном порядке любых неправомерных действий или бездействии Оператора при обработке и защите его ПДн.

 

  1. Ответственность за нарушение норм, регулирующих получение, обработку и защиту ПДн

 

Лица, виновные в нарушении требований законодательства, регулирующего обработку ПДн, несут ответственность предусмотренную законодательством Российской Федерации.

 

 

 

__________________