1. Общие положения
Настоящее Положение обработки персональных данных В Организации (далее – Правила) разработано на основании и во исполнение:
- Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Постановления Правительства РФ от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
и определяют политику администрации Новоусманского муниципального района Воронежской области в отношении обработки персональных данных.
Настоящее Положение утверждается и вводится в действие Распоряжением главы администрации Новоусманского муниципального района Воронежской области и являются обязательными для исполнения всеми сотрудниками администрации Новоусманского муниципального района Воронежской области .
2. Основные понятия, используемые в Политике
В настоящем Положении используются следующие основные понятия:
2.1 персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.2 оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.3 обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
2.4 автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.5 распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.6 предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.7 блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.8 уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.9 обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.10 информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.11 трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
2.12 конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
2.13 специальные категории персональных данных – персональные данные, в том числе, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости;
2.14 биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
2.15 использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
2.16 информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
2.17 информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
2.18 доступ к информации – возможность получения информации и ее использования;
2.19 обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
2.20 документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
2.21 под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;
2.22 базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ);
2.23 к юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или иным образом затрагивающее его права, свободы и законные интересы.
Иные понятия в настоящем Положении используются в значениях, определенных действующим законодательством Российской Федерации либо их значение дается по тексту.
3. Основные права и обязанности субъектов персональных данных
Субъект персональных данных, чьи персональные данные обрабатываются, имеет право:
3.1 на получение сведений о подтверждении факта обработки персональных данных;
3.2 на получение сведений о правовых основаниях и цели обработки персональных данных;
3.3 на получение сведений о цели и применяемых Организацией способов обработки персональных данных;
3.4 на получение сведений о наименовании и месте нахождения Организации, сведений о лицах (за исключением сведений о сотрудниках Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;
3.5 на получение сведений об обрабатываемых персональных данных, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
3.6 на получение сведений о сроках обработки персональных данных, в том числе сроках их хранения;
3.7 на получение сведений о порядке осуществления субъектом персональных данных своих прав, предусмотренных законодательством в области персональных данных;
3.8 на получение информации об осуществленной или о предполагаемой трансграничной передаче данных;
3.9 на получение сведений о наименовании и адресе лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
3.10 на получение иных сведений, предусмотренных законодательством в области персональных данных и другими федеральными законами;
3.11 требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3.12 принимать предусмотренные законом меры по защите своих прав;
3.13 требовать от Организации предоставления ему персональных данных в доступной форме;
3.14 повторного обращения и запроса в целях получения сведений и ознакомления с его персональными данными;
3.15 требовать разъяснения порядка принятия решения на основании исключительно автоматизированной обработки его персональных данных;
3.16 заявить возражение против принятия решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы;
3.17 требовать разъяснения порядка принятия и возможные юридические последствия принятия решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, а также разъяснения порядка защиты субъектом персональных данных своих прав и законных интересов;
3.18 обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы;
3.19 на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
3.20 требовать предоставления безвозмездно субъекту персональных данных или его представителю возможности ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
3.21 принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе;
3.22 отзывать согласие на обработку персональных данных.
Кроме указанных прав в вопросах обработки его персональных данных субъект персональных данных обладает другими правами, предоставляемыми ему действующим законодательством Российской Федерации.
4. Принципы обработки персональных данных
Обработка персональных данных должна осуществляться на основе следующих принципов:
4.1 обработка персональных данных должна осуществляться на законной и справедливой основе;
4.2 обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
4.3 не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
4.4 не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4.5 обработке подлежат только персональные данные, которые отвечают целям их обработки;
4.6 содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
4.7 обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
4.8 при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
4.9 оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
4.10 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
4.11 обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
4.12 обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
4.13 обязанность лица, осуществляющего обработку персональных данных по поручению оператора, соблюдения принципов и правил обработки персональных данных;
4.14 соблюдения принципов и правил обработки персональных данных при поручении такой обработки другому лицу;
4.15 соблюдение конфиденциальности персональных данных;
4.16 обработки персональных данных (в том числе при обработке общедоступных персональных данных, специальных категорий персональных данных, биометрических персональных данных, при принятии решений на основании исключительно автоматизированной обработки персональных данных, при трансграничной передаче персональных данных) с письменного согласия субъектов персональных данных либо на ином законом основании;
4.17 соблюдения законности при осуществлении трансграничной передачи персональных данных;
4.18 соблюдением обязанностей, возлагаемых на оператора персональных данных, действующим законодательством и иными нормативными актами по обработке персональных данных;
4.19 принятии мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных;
4.20 принятии необходимых правовых, организационных и технических мер или обеспечении их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
4.21 недопустимости ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных;
4.22 недопустимости использования оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных;
4.23 личной ответственности должностных лиц, осуществляющих обработку персональных данных;
4.24 документального оформления всех принятых решений по обработке и обеспечению безопасности персональных данных.
Нарушение указанных принципов обработки персональных данных категорически запрещается!
5. Цели обработки персональных данных
Организация, являясь оператором персональных данных, должна определять цели обработки персональных данных в своих информационных системах персональных данных.
Цели обработки персональных данных в информационных системах персональных данных должны быть четко определены и соответствовать:
- заявленным в Положении основным полномочиям и правам Организации;
- перечням задач или функций структурных подразделений (должностных лиц) Организации, указанным в положениях о таких структурных подразделениях (должностных обязанностях).
Определение целей обработки персональных данных в информационных системах персональных данных производится в Правилах обработки персональных данных конкретных информационных систем персональных данных Организации (см. пункт 3.5 настоящего Положения).
Цели обработки персональных данных определяют:
- содержание и объем обрабатываемых персональных данных,
- категории субъектов, персональные данные которых обрабатываются,
- сроки их обработки и хранения,
- порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
Цели обработки персональных данных должны быть:
- конкретны;
- заранее определены;
- законны;
- заявлены.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Совместимость целей определяется по наличию общей цели связанной с заявленными в Положении основными полномочиями и правами Организации или по наличию общей цели, определяемой действующим законодательством Российской Федерации.
6. Конфиденциальность персональных данных
Запрет раскрытия третьим лицам и распространения персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, Организацией и иными лицами, получившим доступ к персональным данным называется конфиденциальностью персональных данных.
