ВЫБЕРИТЕ РАЗДЕЛ
Главная
О службе
Новости
Решения
Перечень организаций
Законодательство
Мониторинг тарифов
Стандарты раскрытия информации
ЕИАС
Справочная информация
Соответствие сайта требованиям
Тарифы
2012 год 2013 год 2014 год 2015 год 2016 год 2017 год
Плата граждан
Обращения граждан
Нормативные документы
Противодействие коррупции
Профилактика правонарушений
Экспертный совет
Общественный совет
Инвестиционные программы
Производственные программы

Политика обработки персональных данных

УТВЕРЖДЕНА
приказом региональной службы
по тарифам Кировской области
от 30.11.2015 № 491

ПОЛИТИКА
обработки и защиты персональных данных
региональной службы по тарифам Кировской области

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных региональной службы по тарифам Кировской области (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона РФ «О персональных данных» от 27 июля 2006 года № 152-ФЗ (далее – Федеральный закон) и действует в отношении всех персональных данных, которые региональная служба по тарифам Кировской области (далее – Оператор) может получить от субъекта персональных данных при оказании государственных услуг (далее по тексту – Субъект), при заключении гражданско-правового договора, при рассмотрении обращений граждан, от физического лица, претендующего на замещение вакантной должности в кадровом резерве, от соискателя на замещение вакантной должности, от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Сотрудник).
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и принятых в соответствии с ним иных нормативных правовых актов, регулирующих вопросы обработки и защиты персональных данных. При обработке персональных данных Оператор придерживается принципов, установленных законодательством РФ в области персональных данных.
1.3. Изменение Политики.
1.3.1. Оператор имеет право вносить изменения в настоящую Политику.
1.3.2. Действующая редакция Политики хранится в месте нахождения органа исполнительной власти по адресу: Кировская область, г. Киров, ул. Дерендяева, д. 23. Электронная версия Политики размещена на официальном сайте региональной службы по тарифам Кировской области по адресу: www.rstkirov.ru.

2. Термины и принятые сокращения

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники;
Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Обработка персональных данных

3.1. Цель обработки:
Оператор осуществляет обработку ПДн в целях:
исполнения обязанностей, возложенных законодательством РФ и Положением о региональной службе по тарифам Кировской области, по регистрации находящихся в компетенции Оператора обращений граждан;
ведения личных дел сотрудников Оператора - государственных гражданских служащих Кировской области;
формирования кадрового резерва государственных гражданских служащих Кировской области;
исполнения условий служебных контрактов (трудовых договоров) между Оператором и сотрудниками Оператора, а также иными лицами, состоящими в трудовых отношениях с Оператором (расчет заработной платы и иных выплат, зачисление заработной платы и иных выплат на карт-счета);
исполнения условий договоров (контрактов), заключенных между Оператором и контрагентами Оператора;
ведения оперативного, бюджетного и налогового учета и формирование соответствующей отчетности;
исполнения обязанностей, возложенных на Оператора законодательством РФ и Положением о региональной служба по тарифам Кировской области (взимание необходимых налогов и сборов с доходов сотрудников и лиц, состоящих в трудовых отношениях с Оператором, в соответствии с законодательством РФ; перечисление страховых взносов в рамках пенсионного и медицинского страхования; формирование и предоставление в соответствующие органы необходимой статистической, бюджетной, налоговой и иной отчетности по установленным формам).
3.2. Категории субъектов ПДн:
- сотрудники, состоящие в трудовых отношениях с Оператором;
- юридические лица города Кирова и Кировской области, пользующиеся услугами Оператора;
- физические лица, претендующие на замещение вакантных должностей в кадровом резерве, соискатели на замещение вакантных должностей;
- физические лица, предоставляющие свои данные, при рассмотрении обращений граждан;
- субъекты ПДн, состоящие в договорных и иных гражданско-правовых отношениях с Оператором.
3.3. Перечень ПДн, обрабатываемых Оператором:
данные, полученные при осуществлении трудовых отношений;
данные, полученные для проведения конкурса на включение в кадровый резерв, на замещение вакантных должностей;
данные, полученные при рассмотрении обращений граждан.
физические, юридические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором.
3.4. Правовое основание обработки ПДн:
Конституция РФ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», иное законодательство о государственной гражданской службе, ст.ст. 85-90 Трудового Кодекса РФ, Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан РФ».
3.5. Перечень действий с ПДн.
3.5.1. Получение ПДн
Все ПДн могут быть получены от самого Субъекта. Если ПДн Субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлен об этом или от него должно быть получено согласие.
3.5.2. Обработка ПДн осуществляется:
с согласия Субъекта ПДн на обработку его ПДн;
в случаях, когда обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
в случаях, когда осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн либо по его просьбе (далее - ПДн, сделанные общедоступными субъектом ПДн).
Обработка ПДн осуществляться путем сбора, записи, систематизации, накопления, хранения, уточнения, извлечения, использования, обезличивания, блокирования, удаления, уничтожения.
Обработка ПДн: смешанная, без передачи по внутренней сети Оператора и передачи по сети Интернет.
Срок или условие прекращения обработки ПДн: прекращение деятельности Оператора, изменение законодательства.
3.5.3. Передача ПДн третьим лицам осуществляется в следующих случаях:
Субъект выразил свое согласие на такие действия;
передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
3.5.4. Хранение ПДн и условия прекращения обработки ПДн
ПДн Субъектов передаются на хранение как на бумажных носителях, так и в электронном виде.
ПДн, зафиксированные на бумажных носителях, хранятся в запираемых металлических шкафах.
Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПД.
Сроки или условие прекращения обработки ПДн:
прекращение деятельности Оператора;
75 лет - хранение ПДн сотрудников;
в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено федеральным законодательством;
отзыв согласия, если иное не предусмотрено законодательством.
3.5.5. Уничтожение ПДн
Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.
Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается актом об уничтожении носителей, подписанным членами комиссии.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов у Оператора создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, системы защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати и рекламной деятельности, аналитической работы.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.
4.5. Основными мерами защиты ПДн, используемыми Оператором, являются:
4.5.1. Назначение лица ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением сотрудниками требований к защите ПДн.
4.5.2. Определение актуальных угроз безопасности ПДн при их обработке в ИСПДн и разработка мер и мероприятий по защите ПДн.
4.5.3. Разработка политики в отношении обработки ПДн.
4.5.4. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их служебными обязанностями.
4.5.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.7. Соблюдения условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ.
4.5.8. Обнаружение фактов несанкционированного доступа к ПДн и принятия мер.
4.5.9. Сертифицированный межсетевой экран и средство обнаружения вторжения.
4.5.10. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.11. Ознакомление сотрудников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе, с требованиями к защите ПДн, документами, определяющими Политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
4.5.12. Осуществление внутреннего контроля за принимаемыми мерами по обеспечению безопасности ПДн.

5. Основные права Субъекта ПДн и обязанности оператора

5.1. Основные права Субъекта ПДн
5.1.1. Субъект имеет право на доступ к его ПДн и следующим сведениям:
подтверждение факта обработки ПДн Оператором;
правовые основания и цели обработки ПДн;
цели и применяемые Оператором способы обработки ПДн;
наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления Субъектом ПДн прав, предусмотренных Федеральным законом;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
5.1.2. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.1.3. Сведения предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса Субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.1.4. В случае, если сведения были предоставлены для ознакомления Субъекту ПДн по его запросу, Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом.
5.1.5. Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений до истечения срока, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, должен содержать обоснование направления повторного запроса.
5.2. Обязанности Оператора
Оператор обязан:
5.2.1. При сборе ПДн Оператор обязан предоставить Субъекту ПДн по его просьбе информацию, предусмотренную п. 5.1.1.
5.2.2. Если предоставление ПДн является обязательным в соответствии с Федеральным законом, Оператор обязан разъяснить Субъекту ПДн юридические последствия отказа предоставить его ПДн.
5.2.3. Если ПДн получены не от Субъекта ПДн, Оператор, за исключением случаев, предусмотренных федеральным законодательством, до начала обработки таких ПДн обязан предоставить Субъекту ПДн следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки ПДн и ее правовое основание;
3) предполагаемые пользователи ПДн;
4) установленные Федеральным законом права Субъекта ПДн;
5) источник получения ПДн.
5.2.4. Предоставить информацию по ПДн при обращении Субъекта ПДн или его представителя в течение тридцати дней с даты получения запроса.
5.2.5. В случае отказа в предоставлении информации дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения Субъекта ПДн или его представителя, либо с даты получения запроса.
5.2.6. В срок, не превышающий семи рабочих дней со дня предоставления Субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить Субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
5.2.7. Сообщить в уполномоченный орган по защите прав Субъектов ПДн по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
5.2.8. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.
5.2.9. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

6. Ответственный за организацию обработки ПДн.

Ответственным лицом за организацию обработки и обеспечение безопасности ПДн Оператора назначен начальник отдела организационной работы и бухгалтерского учета.

 

Скачать документ.

 
 
Рейтинг@Mail.ru