Введение
Настоящий документ (далее – Политика) определяет высокоуровневую политику в отношении обработки комитетом по охране и использованию объектов историко-культурного наследия Тюменской области (далее — комитет) персональных данных субъектов и содержит сведения о реализуемых требованиях к защите персональных данных.
Настоящая Политика разработана на основе действующих правовых и нормативных документов по защите конфиденциальной информации и персональных данных.
Под персональными данными в настоящем документе понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Настоящая Политика утверждается председателем комитета и подлежит пересмотру по мере необходимости.
1. Общие положения
Согласно Статье 18.1, п.2 Федерального закона от 25.07.2006 № 152?ФЗ «О персональных данных» комитет, как оператор персональных данных, обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
Комитет в рамках выполнения своей деятельности осуществляет обработку персональных данных и, в соответствии с действующим законодательством Российской Федерации, является оператором персональных данных с соответствующими правами и обязанностями, определенными Федеральным законом № 152 от 27.07.2006 г. «О персональных данных» и иными нормативными правовыми актами Российской Федерации (далее — РФ). Состав обрабатываемых данных, категории субъектов, чьи персональные данные обрабатываются комитетом, цели и правовые основания их обработки определены для каждой информационной системы комитета.
2. Принципы, правила и цели обработки данных
2.1 Обработка персональных данных осуществляется комитетом с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152?ФЗ «О персональных данных»:
обработка персональных данных осуществляется на законной и справедливой основе.
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
обработке подлежат только персональные данные, которые отвечают целям их обработки.
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки.
Комитет принимает все необходимые меры по предотвращению разглашения и нарушения конфиденциальности персональных данных.
Комитет принимает необходимые меры по уничтожению или уточнению неполных или неточных данных.
хранение персональных данных в комитете осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом (пример: Федеральный Закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации», договор, стороной которого является субъект персональных данных).
обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
Обработка персональных данных осуществляется комитетом только в случаях:
наличия согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ;
наличия соглашения по которому комитет обязуется осуществлять обработку персональных данных субъектов по поручению оператора;
необходимости достижения целей, предусмотренных нормативно-правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на комитет функций, полномочий и обязанностей;
необходимости осуществления прав и законных интересов комитета или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
в случае, если персональные данные являются общедоступными;
обязательного раскрытия и подлежащих к опубликованию персональных данных в соответствии с законодательством РФ;
организации пропускного режима на территории комитета.
2.2. Согласно требованиям Федерального закона № 152 от 27.07.2006 г. «О персональных данных» комитет в установленном порядке должен пройти процедуру регистрации как оператор персональных данных. В открытом и общедоступном реестре операторов персональных данных, размещенном на официальном сайте Роскомнадзора как уполномоченного органа по защите прав и свобод субъектов персональных данных, содержится следующая актуальная информация:
адрес комитета;
цели обработки персональных данных;
категории персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовое основание обработки персональных данных;
перечень действий с персональными данными, общее описание используемых комитетом способов обработки персональных данных;
фамилия, имя, отчество физического лица, ответственного в комитете за организацию обработки персональных данных, номера его контактных телефонов, почтовые адреса и адреса электронной почты;
описание мер, которые комитет обязуется осуществлять при обработке персональных данных по обеспечению безопасности персональных данных;
дата начала обработки персональных данных;
срок или условие прекращения обработки персональных данных;
сведения о наличии трансграничной передачи персональных данных в процессе их обработки.
2.3. Комитет обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ или договором с субъектом. Меры, направленные на обеспечение выполнения комитетом обязанностей, предусмотренных законодательством РФ
2.4 Комитет осуществляет следующие организационно-технические меры для защиты персональных данных:
назначение лица, ответственного за организацию обработки персональных данных;
утверждение документов, определяющих политику комитета в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152 «О персональных данных», включая:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных комитета;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных комитета, необходимых для выполнения требований к защите персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных комитета;
учет машинных носителей персональных данных;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных комитета, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных комитета;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных комитета.
осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятыми в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политики комитета в отношении обработки персональных данных, локальным актам комитета;
ознакомление сотрудников комитета, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику комитета в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
доступ к содержанию электронного журнала сообщений возможен исключительно для администратора информационной безопасности или структурного подразделения, ответственного за обеспечение безопасности персональных дынных в информационных системах комитета3..
3. Право субъекта персональных данных на доступ к его персональным данным
3.1 Субъект персональных данных имеет право на получение сведений, указанных в части 6 настоящего раздела, за исключением случаев, предусмотренных законодательством РФ. Субъект персональных данных вправе запрашивать у представителей комитета уточнения его персональных данных, информацию о их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.2 Сведения, указанные в части 6 настоящего раздела, предоставляются представителями комитета.
3.3 Сведения, указанные в части 6 настоящего раздела, предоставляются субъекту персональных данных или его представителю представителями комитета при получении запроса субъекта персональных данных или его представителя в письменной форме.
3.4 В случае, если сведения, указанные в части 6 настоящего раздела, уже были предоставлены для ознакомления субъекту персональных данных по его запросу, то субъект персональных данных вправе обратиться повторно к представителям комитета в целях получения сведений, указанных в части 6 настоящего раздела, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
3.5 Субъект персональных данных вправе обратиться повторно к представителю комитета в целях получения сведений, указанных в части 6 настоящего раздела, до истечения срока, указанного в части 4 настоящего раздела, в случае, если такие сведения не были предоставлены в полном объеме по результатам первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
3.6 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных комитетом;
2) правовое основание и цели обработки персональных данных;
3) применяемые комитетом способы обработки персональных данных;
4) наименование и место нахождения комитета, сведения о лицах (за исключением сотрудников комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с комитетом или на основании законодательства РФ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
9) Фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению комитета.