Защита персональных данных

ПОЛИТИКА

управления государственного надзора за техническим состоянием самоходных машин и других видов техники Ростовской областив отношении обработки персональных данных

Содержание:

1. Общие положения

2. Правовое основание, цели и способы обработки персональных данных

2.1. Цели и способы обработки персональных данных

2.2. Состав обрабатываемых персональных данных.

2.3. Правовое основание обработки персональных данных

3. Принципы и условия обработки персональных данных

4. Права субъекта персональных данных

5. Обязанности управления.

6. Меры по обеспечению безопасности персональных данных

7. Заключительные положения

1. Общие положения

Настоящий документ «Политика в отношении обработки персональных данных» (далее по тексту Политика) Управления государственного надзора за техническим состоянием самоходных машин и других видов техники Ростовской области (далее по тексту Управление) разработана в соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ и распространяется на все персональные данные, обрабатываемые в Управлении.

Целью настоящей Политики является доведение до сотрудников и лиц, являющихся потребителями услуг Управления (заявителей), необходимой информации, позволяющей понять, какие персональные данные и с какой целью собираются Управлением, каким образом они обрабатываются, какие требования к обеспечению их безопасности реализуются.

Настоящая Политика распространяется на персональные данные, полученные как до, так и после ее утверждения.

В дополнение к настоящей Политике, Управление может выпускать дополнительные нормативные документы, регламентирующие защиту и порядок обработки персональных данных.

Действие настоящего документа распространяется на все процессы Управления, в рамках которых осуществляется обработка персональных данных, а также на подразделения, принимающие участие в указанных процессах.

2. Правовое основание, цели и способы обработки персональных данных

2.1. Цели и способы обработки персональных данных

Цель обработки персональных данных субъектов – обеспечение исполнение функций и предоставления услуг, определенных Положением об Управления, выполнения договорных обязательств Управления.

Обработка (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение) персональных данных в Управлении подразделяется на:

- обработку персональных данных в информационных системах персональных данных с использованием средств автоматизации;

- обработку персональных данных, осуществляемую без использования средств автоматизации.

2.2. Состав обрабатываемых персональных данных

Управление обрабатывает персональные данные различных субъектов. Для каждой ИСПДн определяется перечень персональных данных, и данный перечень утверждается руководителем Управления государственного надзора за техническим состоянием самоходных машин и других видов техники Ростовской области.

2.3. Правовое основание обработки персональных данных 

Обработка персональных данных в Управлении осуществляется на основании следующих нормативно-методических документов:

- Конституция Российской Федерации (статьи 23,24).

- Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ.

- Трудовой кодекс Российской Федерации (статьи 85-90).

3. Принципы и условия обработки персональных данных

Обработка персональных данных в Управлении осуществляется на основе следующих принципов:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

- при обработке персональных данных обеспечивается раздельное хранение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.

При обработке персональных данных в Управлении обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Управление принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

Обработка персональных данных в Управлении осуществляется на основании письменного согласия субъекта персональных данных. Управление не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

В случае отказа субъекта персональных данных предоставить свои персональные данные Управление в обязательном порядке разъясняет субъекту юридические последствия такого отказа.

Управление не осуществляет принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Поручение обработки персональных данных третьему лицу осуществляется Управлением только на основании договора, заключенного между Управлением и третьим лицом, либо ином основании, предусмотренном действующим законодательством, при наличии согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

4. Права субъекта персональных данных

В соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ субъект персональных данных имеет право:

1. Получить от Управления сведения, касающиеся обработки персональных данных Управлением, а именно:

- подтверждение факта обработки персональных данных Управлением;

- правовые основания и цели обработки персональных данных;

- способы обработки персональных данных, применяемые в Управлении;

- наименование и место нахождения Управления, сведения о лицах (за исключением работников Управления), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Управлением или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора (Управления), если обработка поручена или будет поручена такому лицу;- иные сведения, предусмотренные Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.

2. Потребовать от Управления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.

4. Отозвать согласие на обработку персональных данных в предусмотренных законом случаях (если такое предусмотрено законодательством РФ).

Получение вышеуказанных сведений, уточнение, блокирование или уничтожение Управлением персональных данных, а также выполнение Управлением иных правомерных требований субъекта персональных данных осуществляется на основании письменного запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Управление (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Управлением, подпись субъекта персональных данных или его представителя.

Если субъект персональных данных считает, что Управление осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской федерации.

5. Обязанности управления 

В соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ Управление обязано:

1. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ от предоставления такой информации в срок, предусмотренный Федеральным законом «О персональных данных».

2. По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3. Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены Управлением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

- Управление осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

4. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных Управление обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управление) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Управление в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7. В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Управлением и субъектом персональных данных либо если Управление не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.

8. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Управлением и субъектом персональных данных. Об уничтожении персональных данных Управление обязано уведомить субъекта персональных данных.

6. Меры по обеспечению безопасности персональных данных

При обработке персональных данных Управление принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях обеспечивают сохранность носителей персональных данных и средств защиты информации, а также исключают возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Управление принимает следующие основные меры по обеспечению безопасности персональных данных при их обработке:

- определяет угрозы безопасности персональных данных при их обработке в информационных системах;

- применяет соответствующие технические и организационные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требования к защите персональных данных для установленных классов;

- применяет средства защиты информации, прошедшие в установленном действующим законодательством Российской Федерации порядке процедуру оценки соответствия;

- осуществляет хранение персональных данных, вне зависимости от типа носителя, в охраняемом помещении, оснащенном противопожарной сигнализацией;

- устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах;

- при обработке персональных данных в информационных системах контролирует обеспечение уровня защищенности персональных данных и предотвращение несанкционированного доступа к ним и/или передачи их лицам, не имеющим права доступа к такой информации;

- оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных, в том числе до ввода в эксплуатацию новых информационных систем.

В целях координации действий по обеспечению безопасности персональных данных в Управлении назначены лица, ответственные за безопасность персональных данных.

В целях обеспечения соответствия требованиям Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ Управление не раскрывает информацию о конкретных применяемых средствах и методах обеспечения информационной безопасности персональных данных.

7. Заключительные положения

Внесение изменений в настоящую Политику должно производиться при изменении действующего законодательства Российской Федерации, по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, по результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.

Настоящая Политика и все изменения к ней утверждаются и вводятся в действие руководителем Управления.

Ответственность должностных лиц Управления, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Управления.