Интервал между буквами и строками: Стандартный Средний Большой

Свернуть настройки Шрифт: Arial Times New Roman

Введение

Настоящий документ (далее – Политика) определяет высокоуровневую политику в отношении обработки комитетом по охране и использованию объектов историко-культурного наследия Тюменской области (далее — комитет) персональных данных субъектов и содержит сведения о реализуемых требованиях к защите персональных данных.

Настоящая Политика разработана на основе действующих правовых и нормативных документов по защите конфиденциальной информации и персональных данных.

Под персональными данными в настоящем документе понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Настоящая Политика утверждается председателем комитета и подлежит пересмотру по мере необходимости.

1. Общие положения

Согласно Статье 18.1, п.2 Федерального закона от 25.07.2006 № 152?ФЗ «О персональных данных» комитет, как оператор персональных данных, обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Комитет в рамках выполнения своей деятельности осуществляет обработку персональных данных и, в соответствии с действующим законодательством Российской Федерации, является оператором персональных данных с соответствующими правами и обязанностями, определенными Федеральным законом № 152 от 27.07.2006 г. «О персональных данных» и иными нормативными правовыми актами Российской Федерации (далее — РФ). Состав обрабатываемых данных, категории субъектов, чьи персональные данные обрабатываются комитетом, цели и правовые основания их обработки определены для каждой информационной системы комитета.

2. Принципы, правила и цели обработки данных

2.1 Обработка персональных данных осуществляется комитетом с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152?ФЗ «О персональных данных»:

обработка персональных данных осуществляется на законной и справедливой основе.

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

обработке подлежат только персональные данные, которые отвечают целям их обработки.

содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки.

Комитет принимает все необходимые меры по предотвращению разглашения и нарушения конфиденциальности персональных данных.

Комитет принимает необходимые меры по уничтожению или уточнению неполных или неточных данных.

хранение персональных данных в комитете осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом (пример: Федеральный Закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации», договор, стороной которого является субъект персональных данных).

обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

Обработка персональных данных осуществляется комитетом только в случаях:

наличия согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ;

наличия соглашения по которому комитет обязуется осуществлять обработку персональных данных субъектов по поручению оператора;

необходимости достижения целей, предусмотренных нормативно-правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на комитет функций, полномочий и обязанностей;

необходимости осуществления прав и законных интересов комитета или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

в случае, если персональные данные являются общедоступными;

обязательного раскрытия и подлежащих к опубликованию персональных данных в соответствии с законодательством РФ;

организации пропускного режима на территории комитета.

2.2. Согласно требованиям Федерального закона № 152 от 27.07.2006 г. «О персональных данных» комитет в установленном порядке должен пройти процедуру регистрации как оператор персональных данных. В открытом и общедоступном реестре операторов персональных данных, размещенном на официальном сайте Роскомнадзора как уполномоченного органа по защите прав и свобод субъектов персональных данных, содержится следующая актуальная информация:

адрес комитета;

цели обработки персональных данных;

категории персональных данных;

категории субъектов, персональные данные которых обрабатываются;

правовое основание обработки персональных данных;

перечень действий с персональными данными, общее описание используемых комитетом способов обработки персональных данных;

фамилия, имя, отчество физического лица, ответственного в комитете за организацию обработки персональных данных, номера его контактных телефонов, почтовые адреса и адреса электронной почты;

описание мер, которые комитет обязуется осуществлять при обработке персональных данных по обеспечению безопасности персональных данных;

дата начала обработки персональных данных;

срок или условие прекращения обработки персональных данных;

сведения о наличии трансграничной передачи персональных данных в процессе их обработки.

2.3. Комитет обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ или договором с субъектом. Меры, направленные на обеспечение выполнения комитетом обязанностей, предусмотренных законодательством РФ

2.4 Комитет осуществляет следующие организационно-технические меры для защиты персональных данных:

назначение лица, ответственного за организацию обработки персональных данных;

утверждение документов, определяющих политику комитета в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152 «О персональных данных», включая:

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных комитета;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных комитета, необходимых для выполнения требований к защите персональных данных;

применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных комитета;

учет машинных носителей персональных данных;

восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных комитета, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных комитета;

контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных комитета.

осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятыми в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политики комитета в отношении обработки персональных данных, локальным актам комитета;

ознакомление сотрудников комитета, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику комитета в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

доступ к содержанию электронного журнала сообщений возможен исключительно для администратора информационной безопасности или структурного подразделения, ответственного за обеспечение безопасности персональных дынных в информационных системах комитета3..

3. Право субъекта персональных данных на доступ к его персональным данным

3.1 Субъект персональных данных имеет право на получение сведений, указанных в части 6 настоящего раздела, за исключением случаев, предусмотренных законодательством РФ. Субъект персональных данных вправе запрашивать у представителей комитета уточнения его персональных данных, информацию о их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.2 Сведения, указанные в части 6 настоящего раздела, предоставляются представителями комитета.

3.3 Сведения, указанные в части 6 настоящего раздела, предоставляются субъекту персональных данных или его представителю представителями комитета при получении запроса субъекта персональных данных или его представителя в письменной форме.

3.4 В случае, если сведения, указанные в части 6 настоящего раздела, уже были предоставлены для ознакомления субъекту персональных данных по его запросу, то субъект персональных данных вправе обратиться повторно к представителям комитета в целях получения сведений, указанных в части 6 настоящего раздела, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

3.5 Субъект персональных данных вправе обратиться повторно к представителю комитета в целях получения сведений, указанных в части 6 настоящего раздела, до истечения срока, указанного в части 4 настоящего раздела, в случае, если такие сведения не были предоставлены в полном объеме по результатам первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

3.6 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных комитетом;

2) правовое основание и цели обработки персональных данных;

3) применяемые комитетом способы обработки персональных данных;

4) наименование и место нахождения комитета, сведения о лицах (за исключением сотрудников комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с комитетом или на основании законодательства РФ;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;

9) Фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению комитета.


Создано: 18.07.2018
Дата обновления: 18.07.2018
Источник: Комитет по охране и использованию объектов историко-культурного наследия Тюменской области