Политика в области обработки и защиты персональных данных

 

УТВЕРЖДАЮ

 

Руководитель Администрации

Главы Республики Мордовия

 

А.А. Богатов

___________________ 2018 г.

   

 

ПОЛИТИКА

в области обработки и защиты персональных данных

в Администрации Главы Республики Мордовия

2018 г.




1. Общие положения

1.1.              Настоящая Политика в области обработки и защиты персональных данных (далее – Политика) в Администрации Главы Республики Мордовия (далее – Оператор):

-     разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных;

-     раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;

-     является документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

1.2.    Основные понятия

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3.    Обязанности Оператора персональных данных

1.3.1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3.2. Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных предусмотренную законом информацию.

1.3.3. Оператор обязан реализовать право субъекта персональных данных на доступ к его персональным данным в порядке, предусмотренном статьей 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и локальными документами Оператора.

1.3.4. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

1.4.    Права субъектов персональных данных

1.4.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

1.4.2. Субъект персональных данных вправе требовать от Оператора уточнения обрабатываемых Оператором его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.4.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

-     обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

-     обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением случаев, предусмотренных уголовно-процессуальным законодательством Российской Федерации, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

-     обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

-     доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

-     обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

1.4.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

1.4.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

1.4.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

2.     Цели обработки персональных данных

2.1.     Цели обработки персональных данных:

-     ведение кадрового учета сотрудников Оператора и начисления им заработной платы;

-     учет сведений о доходах, имуществе и обязательствах имущественного характера сотрудников Оператора, членов их семей;

-     ведение кадрового учета, учета сведений о доходах, имуществе и обязательствах имущественного характера лиц, претендующих на замещение государственных должностей Российской Федерации, и лиц, замещающих государственные должности Российской Федерации;

-     выполнение требований Федерального закона от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан»;

-     выполнение требований Указа Президента Российской Федерации от 28 декабря 2001 г. № 1500 «О комиссиях по вопросам помилования на территориях субъектов Российской Федерации»;

-     выполнение требований Федерального закона от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции»;

-     рассмотрение вопросов, связанных с награждением государственными наградами Российской Федерации, государственными наградами Республики Мордовия и наградами, являющимися формой поощрения граждан;

-     исполнение иных полномочий, возложенных на Оператора.

 

3. Правовые основания обработки персональных данных

3.1.    Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

-     Конституция Российской Федерации;

-     Трудовой кодекс Российской Федерации;

-     Гражданский кодекс Российской Федерации;

-     Семейный кодекс Российской Федерации;

-     Федеральный закон от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»;

-     Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования»;

-     Федеральный закон от 29 декабря 2006 г. № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

-     Федеральный закон от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

-     Федеральный закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;

-     Федеральный закон от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращения граждан Российской Федерации»;

-     Федеральный закон от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции»;

-     Указ Президента Российской Федерации от 28 декабря 2001 г. № 1500 «О комиссиях по вопросам помилования на территориях субъектов Российской Федерации»;

-     Указ Президента Российской Федерации от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;

-     Указ Президента Российской Федерации от 1 июня 1998 г. № 640 «О порядке ведения личных дел лиц, замещающих государственные должности Российской Федерации в порядке назначения и государственные должности федеральной государственной службы»;

-     Указ Главы Республики Мордовия от 24 февраля 2016 г. № 46-УГ «О мерах по реализации Закона Республики Мордовия «О государственных наградах Республики Мордовия»;

-     Указ Главы Республики Мордовия от 22 февраля 2006 г. № 22-УГ «Об утверждении Положения об Администрации Главы Республики Мордовия».

 

4. Обрабатываемые категории персональных данных и источники их поступления, категории субъектов персональных данных

4.1.    Оператором обрабатываются следующие категории персональных данных:

Персональные данные работников Оператора, лиц, замещающих государственные должности Республики Мордовия, их заместителей, а также супруги (супруга), несовершеннолетних детей, аффилированных лиц:

-     фамилия, имя, отчество;

-     фамилия, имя, отчество до изменения, если изменялись;

-     сведения об идентификационном номере налогоплательщика;

-     сведения о пенсионном страховом свидетельстве;

-     табельный номер;

-     пол;

-     номер, дата трудового договора, служебного контракта, дополнительного соглашения;

-     дата рождения;

-     место рождения;

-     гражданство;

-     образование (среднее (полное) общее, начальное профессиональное, среднее профессиональное, высшее профессиональное, аспирантура, адъюнктура, докторантура);

-     наименование образовательного учреждения;

-     наименование, серия, номер, дата выдачи, направление или специальность, код по ОКСО, ОКИН документа об образовании, о квалификации или наличии специальных знаний;

-     профессия (в т.ч. код по ОКПДТР);

-     стаж работы;

-     семейное положение;

-     состав семьи с указанием степени родства, фамилии, имени, отчества, года рождения ближайших родственников;

-     данные документа, удостоверяющего личность (вид, серия, номер, дата выдачи, наименование органа, выдавшего документ);

-     адрес и дата регистрации по месту жительства;

-     адрес фактического проживания;

-     телефонный номер (служебный, мобильный, домашний);

-     сведения о воинском учете (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение ВУС; категория годности к военной службе, наименование военного комиссариата по месту жительства, состоит на воинском учете, отметка о снятии с учета);

-     дата приема на работу;

-     характер работы;

-     вид работы (основной, по совместительству);

-     структурное подразделение;

-     занимаемая должность (специальность, профессия), разряд, класс (категория) квалификации;

-     ранее занимаемая должность;

-     тарифная ставка (оклад), надбавка;

-     денежное содержание;

-     должностной оклад;

-     оклад за классный чин;

-     размеры дополнительных выплат;

-     основание трудоустройства;

-     сведения об аттестации, квалификационном экзамене (дата, решение, номер и дата документа, основание);

-     сведения о профессиональной переподготовке (дата начала и окончания переподготовки, специальность (направление, профессия, наименование, номер, дата документа свидетельствующего о переподготовке, основание переподготовки);

-     сведения о наградах, поощрениях, почетных званиях (наименование, номер, дата награждения);

-     сведения об отпусках (вид, период работы, количество дней, дата начала и окончания, основание);

-     сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством (наименование льготы, номер, дата выдачи документа, основание);

-     сведения об увольнении (основания, дата, номер и дата приказа);

-     объем работы;

-     сведения о страховом полисе обязательного (добровольного) медицинского страхования;

-     сведения, содержащиеся в материалах по проведению конкурсов на замещение вакантных должностей государственной гражданской службы Республики Мордовия и (или) на включение в кадровый резерв.

Персональные данные граждан Российской Федерации, награжденных наградами Республики Мордовия, и жителей Республики Мордовия, награжденных наградами Российской Федерации:

-     фамилия, имя, отчество;

-     дата рождения;

-     место рождения;

-     должность;

-     место работы;

-     пол;

-     сведения об образовании (наименование образовательной организации, год окончания);

-     ученая степень, ученое звание;

-     имеющиеся награды (государственные награды, ведомственные награды, дата награждения);

-     домашний адрес;

-     общий стаж работы;

-     стаж работы в отрасли;

-     стаж работы в коллективе;

-     трудовая деятельность (включая обучение в профессиональных образовательных учреждениях и образовательных организациях высшего образования, военную службу);

-     характеристика с указанием конкретных заслуг.

Персональные данные граждан, отбывающих наказание на территории Республики Мордовия, и лиц, освободившихся из мест заключения, проживающих на территории Республики Мордовия, но имеющих непогашенную судимость:

-     фамилия, имя, отчество;

-     дата и место рождения;

-     место отбывания наказания;

-     семейное положение;

-     данные о состоянии здоровья;

-     иные сведения, прилагаемые субъектом персональных данных к ходатайству о помиловании.

Персональные данные граждан Российской Федерации, обратившихся со своей проблемой в Управление Президента РФ:

-     фамилия, имя, отчество;

-     адрес проживания;

-     номер телефона;

-     иные персональные данные, содержащиеся в обращении.

4.2.    Источники получения персональных данных.

Получение сведений о персональных данных осуществляется на основании документов и информации, представленных лично субъектом персональных данных в установленном порядке либо его законными представителями, а также в результате информационного взаимодействия с органами власти и организациями.

 

5. Порядок и условия обработки персональных данных

5.1.    Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

5.2.    Обработка персональных данных осуществляется Оператором с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе информации).

5.3.    Обработка персональных данных субъектов персональных данных, указанных в п. 4.1 настоящей Политики, может осуществляться без согласия указанных лиц в рамках целей, определенных пунктом 2.1 настоящей Политики, в соответствии с пунктами 2 – 11 части 1 статьи 6 и частью 2 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

5.4.    Оператор может осуществлять обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность) как без использования средств автоматизации, так и с использованием средств автоматизации.

Обработка биометрических категорий персональных данных осуществляется с письменного согласия субъекта персональных данных.

5.5.    Оператор может осуществлять обработку специальных категорий персональных данных, касающихся состояния здоровья, как без использования средств автоматизации, так и с использованием средств автоматизации.

Обработка специальных категорий персональных данных осуществляется с письменного согласия субъекта персональных данных.

Обработка специальных категорий персональных данных субъектов персональных данных может осуществляться без согласия указанных лиц в рамках целей, определенных пунктом 2.1 настоящей Политики, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

5.6.    Оператор не осуществляет трансграничную передачу персональных данных.

5.7.    Оператором используются общедоступные источники персональных данных (справочник, официальный информационный сайт). Персональные данные, сообщаемые субъектом персональных данных (фамилия, имя, отчество, абонентский номер, сведения о должности) включаются в такие источники с письменного согласия субъекта персональных данных.

5.8.    В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

-     Федеральной налоговой службе Российской Федерации;

-     Пенсионному фонду России;

-     Негосударственным пенсионным фондам;

-     кредитным организациям;

-     иным органам государственной власти и организациям.

5.9.    Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

 

6. Сроки обработки (хранения) персональных данных

6.1.     Началом срока обработки персональных данных считается момент их получения Оператором.

6.2.     Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.

6.3.     Сроки обработки и хранения персональных данных субъектов персональных данных, определяются в соответствии с законодательством Российской Федерации и приказом Минкультуры России от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций с указанием сроков хранения».

6.4.     Срок обработки и хранения персональных данных, внесенных в информационные системы Оператора, соответствует сроку хранения бумажных оригиналов.

 

7. Уточнение, блокирование и уничтожение персональных данных

7.1.    Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.

7.2.    Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.

7.3.    Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.

7.4.    Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.

7.5.    Уничтожение персональных данных осуществляется Оператором:

-     по достижении цели обработки персональных данных;

-     в случае утраты необходимости в достижении целей обработки персональных данных;

-     в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;

-     по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

7.6.    При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.

 

8. Меры по обеспечению безопасности персональных данных при их обработке

8.1.    Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2.    Обеспечение безопасности персональных данных достигается, в частности:

-     назначением ответственных лиц за организацию обработки персональных данных;

-     назначением лиц, непосредственно осуществляющих обработку персональных данных;

-     осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, внутренним распорядительным документам Оператора;

-     ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации в области персональных данных, в том числе требованиями к защите персональных данных, внутренних распорядительных документов Оператора в отношении обработки персональных данных, и (или) обучением указанных работников;

-     применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

-     учетом машинных носителей персональных данных;

-     обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

-     восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-     контролем за принимаемыми мерами по обеспечению безопасности персональных данных.

 

9. Заключительные положения

9.1.     Настоящая Политика является внутренним документом Оператора.

9.2.     Настоящая Политика подлежит изменению или дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не чаще одного раза в три года.

9.3.     Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора.

9.4.     Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации и внутренними документами Оператора.