Политика по обработке персональных данных Главного управления

Политика

Главного управления МЧС России по Ростовской области

по обработке и защите персональных данных

I. Общие положения

1.1. Настоящий документ, разработанный на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ, Гражданского кодекса Российской Федерации от 30.11.1994 № 51-ФЗ, Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федерального закона 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и иных нормативных правовых актов Российской Федерации и нормативных актов Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (далее - МЧС России), устанавливает единые цели, принципы и правила обработки персональных данных в Главном управлении МЧС России по Ростовской области (далее – Главное управление) и определяет основные меры, реализуемые Главным управлением для обеспечения защиты персональных данных.

1.2. Главное управление, являясь оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

II. Основные термины и определения

2.1. В настоящем документе используются следующие термины и определения:

2.1.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.1.3. Специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

2.1.4. Информационная система персональных данных - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

2.1.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.6. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.1.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.8. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.1.9. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

2.1.10. Конфиденциальность персональных данных - обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;

2.1.11. Защита персональных данных - деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

III. Цели обработки персональных данных

3.1. В Главном управлении персональные данные обрабатываются в целях:

3.1.1. обеспечение кадровой деятельности в связи с поступлением на службу (работу) в Главное управление, ее прохождением и увольнением со службы (работы);

3.1.2. обеспечения сотрудникам Главного управления установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции;

3.1.3. предоставления (исполнения) государственных услуг (функций);

3.1.4. рассмотрения обращений граждан Российской Федерации, иностранных граждан, лиц без гражданства;

3.1.5. обеспечения деятельности и коммуникации сотрудников Главного управления;

3.1.5. в других целях, предусмотренных положением о Главном управлении и иными нормативными актами МЧС России, нормативно-правовыми актами Российской Федерации.

IV. Принципы и условия обработки персональных данных

4.1. Обработка персональных данных в Главном управлении осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных", и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны.

4.2. Обработка персональных данных в Главном управлении осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. При обработке персональных данных Главное управление обязано обеспечить их конфиденциальность.

V. Субъекты персональных данных

5.1. Главное управление осуществляет обработку персональных данных следующих категорий субъектов персональных данных: сотрудники МЧС России, их близкие родственники, кандидаты для приема на работу (службу), а также иные лица, чьи персональные данные стали известны в силу предоставления (исполнения) со стороны Главного управления государственных услуг (функций), социальных льгот, гарантий и компенсаций (для обеспечения реализации целей обработки, указанных в разделе III настоящего документа).

VI. Обрабатываемые персональные данные

6.1. Персональные данные сотрудников, кандидатов для приема на работу (службу) определяются на основании Трудового кодекса Российской Федерации и нормативных актов МЧС России и Главного управления.

6.2. Обработка персональных данных сотрудников Главного управления, касающихся состояния здоровья, осуществляется в соответствии с требованиями Федерального закона "О персональных данных" и Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".

6.3. В целях предоставления государственных услуг и исполнения государственных функций осуществляется обработка следующих персональных данных физических лиц:

6.3.1. фамилия, имя, отчество (последнее при наличии);

6.3.2. вид, серия, номер документа, удостоверяющего личность;

6.3.3. адрес места жительства;

6.3.4. адрес электронной почты;

6.3.5. номер контактного телефона или сведения о других способах связи.

6.3.6. иные персональные данные, необходимые для достижения целей предоставления государственных услуг и исполнения государственных функций.

6.4. Персональные данные специальных категорий, за исключением данных о состоянии здоровья сотрудников Главного управления, а также биометрические персональные данные могут обрабатываться в случаях, предусмотренных законодательством Российской Федерации.

VII. Обработка персональных данных в Главном управлении

7.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

7.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

7.3. К обработке персональных данных допускаются только те должностные лица Главного управления, в должностные обязанности которых входит обработка персональных данных.

Указанные должностные лица имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

7.4. Обработка персональных данных осуществляется путем:

7.4.1. получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

7.4.2. предоставления субъектами персональных данных оригиналов необходимых документов;

7.4.3. получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;

7.4.4. получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;

7.4.5. получения персональных данных из общедоступных источников;

7.4.6. фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

7.4.7. внесения персональных данных в информационные системы Главного управления, МЧС России, иные информационные системы, эксплуатация которых определена руководящими документами Главного управления и МЧС России;

7.4.8. создание общедоступных источников персональных данных для обеспечения коммуникации с сотрудниками Главного управления, а также информационного освещения деятельности Главного управления;

7.4.9. использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Главным управлением деятельности.

7.5. Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации. Равнозначным содержащему собственноручную подпись субъектов персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

7.6. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

Трансграничная передача персональных данных допускается с письменного согласия субъектов персональных данных за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

7.7. Главное управление вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Главного управления, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.

7.8. В случае, когда Главное управление на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.

7.9. Хранение персональных данных в Главном управлении осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению. Сроки хранения персональных данных в Главном управлении определяются в соответствии с законодательством Российской Федерации и нормативными актами МЧС России.

VIII. Права субъектов персональных данных

8.1. Субъект персональных данных имеет право:

8.1.1. получать полную информацию, касающуюся обработки в Главном управлении его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

8.1.2. требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;

8.1.3. требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

8.1.4. требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;

8.1.5. отозвать согласие на обработку своих персональных данных;

8.1.6. обжаловать действия или бездействие оператора при обработке своих персональных данных в соответствии с законодательством Российской Федерации;

8.1.7. осуществлять иные права, предусмотренные законодательством Российской Федерации.

IX. Обязанности оператора

9.1. Главное управление при обработке персональных данных обязано:

9.1.1. принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;

9.1.2. разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;

9.1.3. осуществлять блокирование неправомерно обрабатываемых персональных данных;

9.1.4. осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;

9.1.5. уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;

9.1.6. предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными актами МЧС России.

9.2. В целях принятия мер, необходимых для выполнения обязанностей, предусмотренных законодательством Российской Федерации и нормативными актами МЧС России, начальником Главного управления назначается лицо, ответственное за организацию обработки и защиты персональных данных в Главном управлении.

9.3. Лицо, ответственное за организацию обработки и защиты персональных данных в Главном управлении, обязано:

9.3.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Главном управлении, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

9.3.2. обеспечивать внутренний контроль за соблюдением в Главном управлении требований законодательства Российской Федерации и нормативных актов МЧС России и Главного управления в области персональных данных, в том числе требований к защите персональных данных;

9.3.3. организовывать доведение до сведения сотрудников Главного управления положения законодательства Российской Федерации в области персональных данных, нормативных актов МЧС России и Главного управления по вопросам обработки персональных данных, а также требований к защите персональных данных;

9.3.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений в Главном управлении.

X. Обеспечение безопасности персональных данных

10.1. Обеспечение безопасности персональных данных при их обработке в Главном управлении осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

10.2. Главное управление предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

10.3. Меры защиты, реализуемые Главным управлением при обработке персональных данных, включают:

10.3.1. принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

10.3.2. назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах МЧС России;

10.3.3. организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Главном управлении;

10.3.4. создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;

10.3.5. организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;

10.3.6. хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

10.3.7. обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;

10.3.8 обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;

10.3.9. установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных мер по обеспечению безопасности персональных данных;

10.3.10. обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;

10.3.11. осуществление внутреннего контроля за соблюдением в Главном управлении законодательства Российской Федерации, нормативных актов МЧС России и Главного управления при обработке персональных данных.

10.4. Ответственность за нарушение требований законодательства Российской Федерации, нормативных актов МЧС России и Главного управления в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.