Номер документа | |
---|---|
Тип документа | Другие документы |
Орган, принявший документ | Администрация |
Дата последнего изменения | |
Дата принятия | 27 апреля 2018 |
Дата размещения на сайте | 27 апреля 2018 |
1, Политика в отношении обработки персональных данных, сведения о реализуемых требованиях к защите персональных данных (далее - "Положение") издана и применяется Государственным автономным учреждением Московской области «Агентство информационных систем общего пользования «Подмосковье» (далее - "Оператор") в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (Далее - «Федеральный закон»).
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
2. Целью обработки персональных данных является: обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе с целью защиты прав на неприкосновенность частной жизни, личную и семейную тайну; продвижения товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения); обеспечения приёма и направления обращений, в том числе в государственные органы государственной власти; исполнения прав и обязательств, появившихся в связи заключением трудовых отношений с работниками и (или) гражданско-правовых отношений с физическими лицами; оформления зарплатного проекта; оформления пропуска на территорию ГАУ МО "Агентство информационных систем общего пользования "Подмосковье"; ведения кадрового и бухгалтерского учета; передачи данных в учебные центры для обучения сотрудников и/или повышения их квалификации; отбора на вакантную должность; исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога; исполнения договорных обязательств; соблюдения прав потребителей согласно требованиям законодательства Российской Федерации; ведения истории служебной переписки.
3. Субъекты Российской Федерации, на территории которых происходит обработка персональных данных: Москва; Московская область.
4. Описание мер. предусмотренных ст. 18.1 и 19 Закона о персональных данных:
4.1. Уровень защищенности персональных данных при их обработке в информационных системах персональных данных: уровень защищенности 1, 3 и 4.
4.2. Назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.
4.3. Издание оператором, являющимся юридическим лицом, настоящего Положения.
4.4. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4.5. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
4.6. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
4.7. Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
4.8. Определение угроз безопасности персональных данных при их обработке в информационных системах Оператора.
4.9. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах оператора, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
4.14. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора.
4.15. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.16. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Директора Оператора.
4.17. Недопущение воздействия на технические средства автоматизированной обработки персональных данных (при наличии), в результате которого может быть нарушено их функционирование.
4.18. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.19. Постоянный контроль за обеспечением уровня защищенности персональных данных.
4.20. Соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
4.22. При обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы Оператора до выявления причин нарушений и устранения этих причин.
5. Любые меры защиты персональных данных, описанные в настоящем положении, могут быть реализованы без издания письменных приказов директора Оператора и (или) должностных лиц Оператора.
6. Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора:
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
7. Способы обработки персональных данных:
- с использованием средств автоматизации;
- без использования средств автоматизации.
8. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных .
9. Параметры сбора персональных данных информационными системами по категориям субъектов:
9.1. Категории субъектов: потенциальные работники; работники; потенциальные стороны гражданского-правовых договоров в лице физических лиц; физические лица, с которыми заключены договоры гражданско-правового характера; близкие родственники работников.
Категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения: место рождения; адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; состояние здоровья; гражданство; реквизиты документа, удостоверяющего личность; ИНН; СНИЛС; сведения о банковских счетах сведения о воинском учете; сведения об инвалидности; сведения об интересах.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ): обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных: смешанная; с передачей по внутренней сети юридического лица сети интернет; без передачи по сети Интернет.
Трансграничная передача: нет.
Сведения о местонахождении базы данных: Россия
9.2. Категории персональных данных: фамилия, имя, отчество; год рождения: месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; состояние здоровья; гражданство; реквизиты документа, удостоверяющего личность; ИНН; СНИЛС; сведения о банковских счетах сведения о воинском учете; сведения об инвалидности; сведения об интересах.
Категории субъектов: Работники; близкие родственники работников Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных: смешанная; без передачи по внутренней сети юридического лица; без передачи по сети Интернет.
Трансграничная передача: Нет. Сведения о местонахождении базы данных: Россия
9.3. Категории субъектов: физические лица, которые обратились через форму обратной связи на интернет-сайтах.
Категории персональных данных: фамилия, имя, отчество; адрес электронной почты; иные сведения, указанные физическим лицом в форме обратной связи.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Трансграничная передача: нет.
Сведения о местонахождении базы данных: Россия.
9.4. Категории персональных данных: фамилия, имя, отчество; адрес электронной почты.
Категории субъектов: граждане и представители юридических лиц Подмосковья
Перечень действий: запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (доступ); блокирование; удаление; уничтожение;
Обработка персональных данных: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет
Трансграничная передача: нет
Сведения о местонахождении базы данных: Россия
10. Аудит соблюдения Оператором требований законодательства Российской Федерации и положений локальных нормативных актов Оператора должен быть организован в соответствии с целями и принципами, указанными в настоящем Положении, и положениями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
11. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, заключается в следующем:
11.1. Обеспечение сохранности собственности Оператора, в том числе сохранность материальных носителей информации, путем установления и поддержания соответствующих режимов безопасности.
11.2. Недопущение попадания конфиденциальной информации Оператора, в том числе информации, составляющей коммерческую и служебную тайны, неуполномоченным лицам.
11.3. Обеспечение информационной безопасности Оператора, бесперебойного функционирования технических средств обработки персональных данных. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
11.4. Обеспечение физической защиты объектов путем установления внутриобъектового и пропускного режимов и режима взрыво- и пожаробезопасности.
11.5. Обеспечение комфортного морально-психологического климата и обстановки делового сотрудничества среди работников оператора.
11.7. Незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
11.8. Постоянный контроль за обеспечением уровня защищенности персональных данных.
11.9. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
11.10. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
11.11. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора.
11.12, Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
12. Опубликование и обеспечение неограниченного доступа к настоящему Положению реализовывается посредством размещения настоящего Положения в информационно-телекоммуникационной сети «Интернет».
13. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных и содержащий в себе сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети «Интернет».
14. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст.
18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 10 (десяти) рабочих дней.
15. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
6) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных;
7) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
8) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
16. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
17. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
18. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
19. Работники Оператора, осуществляющие обработку персональных данных, ознакомляются с настоящим Положением и положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями, перечисленными в ст. 18.1 Закона о персональных данных.
20. Контроль за исполнением Положения возлагается на Директора Оператора.
21. Ответственным за обработку персональных данных является Директор Оператора.22. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39,13.11 -13.14, ст. 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).