Политика по обработке персональных данных

 Политика оператора в отношении обработки ПДн

 

1. Термины и определения

 

Для целей настоящей Политики используются следующие понятия:

Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

Оператор ПДн (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее – ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

1. Общие положения

 

Настоящая Политика оператора в отношении обработки ПДн (далее – Политика) разработана в целях выполнения норм федерального законодательства, соблюдении принципов целостности, доступности и конфиденциальности при обработке ПДн, а также обеспечение безопасности процессов их обработки в областном казённом учреждении «Пожарно-спасательная служба Сахалинской области» (далее – Оператор).

Политика характеризуется следующими признаками:

1)       Разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки ПДн субъектов ПДн.

2)       Раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.

3)       Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.

 

1. Информация об операторе

  

Наименование: Областное казённое учреждение «Пожарно-спасательная служба Сахалинской области» (ОКУ «ПСС Сахалинской области»).

ИНН: 6504001903

Юридический адрес: 694005, Сахалинская область, Корсаковский район, с. Новиково, ул. Советская, 23 В

Фактический адрес: 693000, Сахалинская область, г. Южно-Сахалинск, ул. Институтская, 20 Б

Телефоны: 8 (4242) 55-69-30

 

1. Правовые основания обработки ПДн

 

Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:

1) Конституцией Российской Федерации.

2) Налоговым кодексом Российской Федерации.

3) Трудовым кодексом Российской Федерации.

4) Земельным кодексом Российской Федерации.

5) Жилищным кодексом Российской Федерации.

6) Федеральным законом от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».

7) Федеральным законом от 12.06.2002 №67-Ф3 «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации».

8) Федеральным законом от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

9) Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

10) Федеральным законом от 02.03.2007 №25-ФЗ «О муниципальной службе в Российской Федерации».

11) Федеральным законом от 27.07.2010 №210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

Во исполнение настоящей Политики руководящим органом Оператора утверждены следующие локальные нормативные правовые акты:

1) Инструкции и правила, регламентирующие порядок обработки и защиты персональных данных.

2) Перечень обрабатываемых персональных данных.

3) Перечень информационных систем персональных данных.

4) Перечень должностей, доступ которых к персональным данным, в том числе обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых).

5) Перечень должностей, ведущих обработку персональных данных без использования средств автоматизации.

6) Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

7) Акты определения уровня защищенности персональных данных обрабатываемых в информационных системах.

 

1. Цели обработки ПДн

 

Оператор обрабатывает ПДн исключительно в следующих целях:

1) Выполнение полномочий, определенных Уставом ОКУ «ПСС Сахалинской области».

2) Исполнения положений нормативных актов, указанных в пункте 4.

3) Ведение кадровой работы, выполнение условий трудового договора, обеспечение охраны труда, расчет заработной платы.

4) Работа с жалобами, заявлениями граждан и индивидуальных предпринимателей, обратившихся к Оператору.

5) Рассмотрение дел об административных правонарушениях и составления протоколов.

 

1. 6. Категории обрабатываемых ПДн, источники их получения, сроки обработки и хранения

 

В ИСПДн Оператора обрабатываются следующие категории ПДн:

1) ПДн граждан, обратившиеся к Оператору с обращением, заявлением, с целью получения услуги и их близких родственники.

2) ПДн работников, состоящих в трудовых отношениях с Оператором и их близких родственники.

3) ПДн работников, принятых по договору оказания услуг и их близких родственники.

4) ПДн индивидуальных предпринимателей и юридических лиц, оказывающие услуги в сфере потребительского рынка и бытового обслуживания.

5) ПДн лиц, совершивших административные правонарушения.

Источники поступления ПДн: из первичной документации, предоставляемой самими субъектами персональных данных.

 

1. Основные принципы обработки, передачи и хранения ПДн

 

Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Оператор не осуществляет обработку СПЕЦИАЛЬНЫХ категорий ПДн, касающихся состояния здоровья.

Оператор не осуществляет обработку БИОМЕТРИЧЕСКИХ ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных).

Оператор не осуществляет обработку ОБЩЕДОСТУПНЫХ категорий ПДн.

Оператор осуществляет обработку ИНЫХ категорий ПДн.

Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.

 

1. Порядок и условия обработки персональных данных

 

Действия, совершаемые оператором при обработке ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление, уничтожение персональных данных

 В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности осуществляет информационный обмен ПДн со следующими организациями:

1)  Территориальный фонд обязательного медицинского страхования.

2)  Федеральная налоговая служба.

3) Пенсионный Фонд Российской Федерации.

4) Банки.

5) Фонд социального страхования.

6) Лицензирующие и/или контролирующие органами государственной власти и местного самоуправления.

 

1. Меры по обеспечению безопасности ПДн при их обработке

 

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

1) Назначением ответственных за организацию обработки ПДн.

2) Осуществлением внутреннего контроля и аудита соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам.

3) Ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн и обучением указанных Работников.

4) Определением угроз безопасности ПДн при их обработке в ИСПДн.

5) Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн.

6) Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.

7) Учетом машинных носителей ПДн.

8) Выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер.

9) Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

10) Установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.

11) Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.

 Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

 

1. Права субъектов персональных данных

 

 В соответствии с № 152-ФЗ «О персональных данных» субъект персональных данных имеет право:

Получить сведения, касающиеся обработки ПДн оператором, а именно:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных №152-ФЗ «О персональных данных»;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные №152-ФЗ «О персональных данных» или другими федеральными законами.

Потребовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными; устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.

Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.

Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

  

1. Контроль н надзор за обработкой персональных данных

 

 Ответственным за организацию обработки и обеспечения безопасности персональных данных в ОКУ «ПСС Сахалинской области» является лицо, назначенное приказом ОКУ «ПСС Сахалинской области».

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

 

1. Заключительные положения

 

Настоящая Политика утверждается приказом руководителя ОКУ «ПСС Сахалинской области».

Оператор имеет право вносить изменения в настоящую Политику.

При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.