Политика в отношении обработки персональных данных в Правительстве Ульяновской области

1.  Общие положения

 

1.1. Настоящая Политика разработана в соответствии с требованиями законодательства Российской Федерации в области персональных данных.

1.2. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых как сиспользованием средств автоматизации, так и без использования таких средств в Правительстве Ульяновской области (далее
также – Оператор).

1.3. Для целей настоящей Политики используется следующее понятие:

Оператор – Правительство Ульяновской области, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В остальном термины и понятия, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом от27.07.2006 № 152-ФЗ «О персональных данных» и Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях изащите информации».

1.4. Основные права и обязанности Оператора и субъектов персональных данных.

1.4.1. Обязанности Оператора:

1) предоставлять при сборе персональных данных субъекту персональных данных информацию, касающуюся обработки его персональных данных в объёме, определённом Федеральным законом от27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);

2) разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, в случае если предоставление персональных данных является обязательным в соответствии с федеральным законодательством;

3) принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятых в соответствии с ним нормативных правовых актов Российской Федерации, нормативных правовых актов Губернатора Ульяновской области и Правительства Ульяновской области;

4) предоставлять запрашиваемую информацию и принимать меры по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокировке и уничтожению персональных данных, в случае обращения к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных;

5) уведомлять уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных.

1.4.2. Права Оператора:

1)   обрабатывать персональные данные;

2)   самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в сфере персональных данных.

1.4.3. Права субъектов персональных данных:

1) иметь доступ к своим персональным данным;

2) требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) требовать соблюдения своих прав и законных интересов при принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных;

4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

1.4.4. Обязанности субъектов персональных данных:

1) предоставлять Оператору достоверные персональные данные, необходимые для достижения Оператором законных целей обработки персональных данных;

2) сообщать Оператору об изменении своих персональных данных.

 

2. Принципы и цели обработки персональных данных в Правительстве Ульяновской области

 

2.1. Обработка персональных данных в Правительстве Ульяновской области основана на следующих принципах:

1) обработка персональных данных должна осуществляться назаконной и справедливой основе;

2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Недопускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только персональные данные, которые отвечают целям их обработки;

5) содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению кзаявленным целям их обработки;

6) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. В соответствии с принципами обработки персональных данных, в связи с наличием служебных и трудовых отношений, а также в связи с исполнением функций, полномочий и обязанностей, возложенных законодательством Российской Федерации и законодательством Ульяновской области на Правительство Ульяновской области, Оператором обрабатываются персональные данные субъектов персональных данных в целях:

1) обеспечения кадровой работы, в том числе в целях содействия лицам, замещающим государственные должности Ульяновской области, указанные в пунктах 1, 3-5, 8, 9, 11, 22, 24, 25 статьи 3 Закона Ульяновской области от 30.01.2006 № 06-ЗО «О государственных должностях Ульяновской области» (далее – лица, замещающие государственные должности), государственным гражданским служащим, замещающим должности государственной гражданской службы в Правительстве Ульяновской области
и в исполнительных органах государственной власти Ульяновской области (далее – гражданские служащие), в прохождении государственной гражданской службы, в обучении и должностном росте; обеспечения личной безопасности лиц, замещающих государственные должности, гражданских служащих и членов их семей, обеспечения сохранности принадлежащего имущества и имущества Правительства Ульяновской области и исполнительных органов государственной власти Ульяновской области; учёта результатов исполнения лицами, замещающими государственные должности, и гражданскими служащими своих должностных обязанностей; обеспечения лицам, замещающим государственные должности, и гражданским служащим установленных законодательством Российской Федерации условий труда, гарантий и компенсаций; ведения реестра государственных гражданских служащих Ульяновской области; проведения конкурсов на замещение вакантных должностей государственной гражданской службы Ульяновской области; формирования кадрового резерва Ульяновской области; формирования резерва управленческих кадров Ульяновской области; обеспечения доступа кинформации о деятельности Правительства Ульяновской области иисполнительных органов государственной власти Ульяновской области;

2) обеспечения кадровой работы в отношении лиц, замещающих должности в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, не относящиеся к должностям государственной гражданской службы (далее – работники), содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Правительства Ульяновской области и исполнительных органов государственной власти Ульяновской области;

3) формирования налоговой, бюджетной отчётности, отчётности в осударственные внебюджетные фонды Российской Федерации по начисленным и уплаченным страховым взносам; осуществления начислений на выплаты по оплате труда, выплат и компенсаций, предусмотренных законодательством Российской Федерации, нормативными правовыми  актами Губернатора Ульяновской области и Правительства Ульяновской области; ведения персонифицированного учёта лиц, вотношении которых осуществляются начисления, выплаты и компенсации;

4) анализа и проведения проверки достоверности и полноты сведений, представленных лицами, замещающими государственные должности (за исключением Губернатора Ульяновской области), гражданскими служащими, кандидатами на замещение должностей государственной гражданской службы Ульяновской области и глав местных администраций муниципальных образований Ульяновской области, лицами, замещающими муниципальные должности в Ульяновской области, о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведений о доходах, расходах, об имуществе и обязательствах имущественного характера супруг (супругов) и несовершеннолетних детей; осуществления контроля за расходами;

5) анализа сведений о соблюдении гражданами, замещавшими должности государственной гражданской службы Ульяновской области, ограничений при заключении ими после прекращения служебного контракта, освобождения от замещаемой должности государственной гражданской службы и увольнения с государственной гражданской службы трудового договора и (или) гражданско-правового договора в случаях, предусмотренных федеральными законами; анализа сведений о соблюдении государственными служащими требований к служебному поведению, опредотвращении или урегулировании конфликта интересов и соблюдении установленных для них запретов, ограничений и обязанностей;

6) оформления допуска к сведениям, составляющим государственную тайну;

7) организации наставничества на государственной гражданской службе в Правительстве Ульяновской области и агентствах Ульяновской области (в части их руководителей);

8) отбора кандидатов и формирования списков для обучения попрограммам дополнительного профессионального образования, краткосрочным обучающим мероприятиям;

9) представления к награждению государственными наградами Российской Федерации, ведомственными наградами федеральных органов исполнительной власти, награждения наградами Ульяновской области, Губернатора Ульяновской области, поощрения мерами поощрения Губернатора Ульяновской области и Правительства Ульяновской области;

10) проведения ежегодных областных конкурсов, выплаты премий поих итогам;

11) организации приёма граждан, обеспечения объективного всестороннего и своевременного рассмотрения устных и письменных обращений граждан, а также обращений в форме электронного документа;

12) организации производства по делам об административных правонарушениях;

13) содействия реализации конституционных полномочий Президента Российской Федерации по осуществлению помилования, обеспечения участия Губернатора Ульяновской области и представителей общественности в рассмотрении вопросов, связанных с помилованием;

14) обеспечения деятельности судов общей юрисдикции в Российской Федерации при рассмотрении уголовных дел;

15) документационного обеспечения заседаний комиссии по делам несовершеннолетних и защите их прав по принятию решения о допуске или недопуске лиц, имевших судимость, к педагогической деятельности, кпредпринимательской деятельности и (или) трудовой деятельности в сфере образования, воспитания, развития несовершеннолетних, организации  ихотдыха и оздоровления, медицинского обеспечения, социальной защиты исоциального обслуживания, в сфере детско-юношеского спорта, культуры иискусства с участием несовершеннолетних;

16) содействия в соблюдении прав и законных интересов физических лиц в рамках рассмотрения обращений граждан, объединений граждан и юридических лиц, поступающих в адрес Уполномоченного по правам человека в Ульяновской области, Уполномоченного по защите прав предпринимателей в Ульяновской области, Уполномоченного по правам ребёнка в Ульяновской области.

Перечень персональных данных, обрабатываемых Оператором  в подразделениях, образуемых в Правительстве Ульяновской области, соотнесение их с категориями субъектов персональных данных, а также правовое основание обработки персональных данных определяются нормативными правовыми актами Губернатора Ульяновской области и Правительства Ульяновской области.

 

3. Условия и порядок обработки персональных данных

 

3.1. Обработка персональных данных Оператором допускается вследующих случаях:

1) при наличии согласия субъекта персональных данных на обработку его персональных данных;

2) для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

3) в иных случаях, предусмотренных частью 1 статьи 6 Федерального закона «О персональных данных».

3.2. Перечень действий, совершаемых Оператором с персональными данными субъектов персональных данных в процессе их обработки:

сбор;

запись;

систематизация;

накопление;

хранение;

уточнение (обновление, изменение);

извлечение;

использование;

передача (распространение, предоставление, доступ);

блокирование;

удаление;

уничтожение.

3.3. Способы, используемые Оператором при обработке персональных данных.

3.3.1. Автоматизированная обработка персональных данных, реализуется Оператором в информационных системах персональных данных, перечень которых, определяется нормативными правовыми актами Губернатора Ульяновской области и Правительства Ульяновской области.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права изаконные интересы. Такое решение может быть принято только при наличии согласия в письменной форме субъекта персональных данных или вслучаях, предусмотренных законодательством Российской Федерации.

При получении согласия субъекта персональных данных субъекту персональных данных разъясняется порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставляется возможность заявить возражение против такого решения, а также разъясняется порядок защиты субъектом персональных данных своих прав изаконных интересов. Возражения субъекта персональных данных рассматриваются Оператором в течение 30 дней со дня их получения, и субъект персональных данных уведомляется о результатах рассмотрения такого возражения.

3.3.2. Неавтоматизированная обработка персональных данных.

Персональные данные при их обработке, осуществляемой  без использования средств автоматизации, обосабливаются от иной информации, в частности, путём фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При неавтоматизированной обработке персональных данных различных категорий для каждой категории должен использоваться отдельный материальный носитель.

В случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и иной информации, не являющейся персональными данными, а также при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:

осуществляется копирование персональных данных, подлежащих передаче или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих передаче или использованию;

при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уточнение персональных данных при неавтоматизированной обработке производится путём обновления или изменения данных наматериальном носителе, а если это не допускается техническими особенностями материального носителя, – путём фиксации на том жематериальном носителе сведений о вносимых в них изменениях либо путём изготовления нового материального носителя с уточнёнными персональными данными.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, соблюдаются условия, установленные при использовании таких типовых форм законодательством Российской Федерации.

3.3.3. Смешанная обработка персональных данных.

При организации смешанной обработки персональных данных учитываются особенности как автоматизированного, так и неавтоматизированного способов обработки персональных данных.

3.4. Осуществление получения персональных данных.

3.4.1. Персональные данные лиц, замещающих государственные должности, гражданских служащих, граждан, претендующих на замещение должностей государственной гражданской службы в Правительстве Ульяновской области и в исполнительных органах государственной власти Ульяновской области (далее – кандидаты), следует получать у них лично. В случае возникновения необходимости получения персональных данных лиц, замещающих государственные должности, гражданских служащих, кандидатов у третьей стороны следует известить об этом лиц, замещающих государственные должности, гражданских служащих, кандидатов заранее, получить их письменные согласия и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

Запрещается получать, обрабатывать и приобщать к личному делу лиц, замещающих государственные должности, гражданских служащих, кандидатов не установленные федеральными законами персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах.

3.4.2. Персональные данные работников следует получать у них лично. В случае возникновения необходимости получения персональных данных работника у третьей стороны работник должен быть уведомлён об этом
заранее и от него должно быть получено письменное согласие. Оператор должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных.

Запрещается получать и обрабатывать сведения о работнике, относящиеся в соответствии с Федеральным законом «О персональных данных» к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.

3.4.3. Получение персональных данных физических лиц при исполнении функций, полномочий и обязанностей, возложенных федеральным законодательством и законодательством Ульяновской области, осуществляется путём получения персональных данных непосредственно от субъектов персональных данных.

3.4.4. Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких персональных данных обязан представить субъекту персональных данных следующую информацию:

наименование и адрес местонахождения Оператора или его представителя;

цель обработки персональных данных и её правовое основание;

предполагаемые пользователи персональных данных;

установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

источник получения персональных данных.

3.4.5. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные подпунктом 3.4.4 настоящего пункта, в случаях, если:

субъект персональных данных уведомлён об осуществлении обработки
его персональных данных Оператором;

персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

обработка персональных данных осуществляется Оператором для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

предоставление субъекту персональных данных сведений, предусмотренных подпунктом 3.4.4 настоящего пункта, нарушает права
и законные интересы третьих лиц.

3.4.6. Субъект персональных данных может отказаться от предоставления его персональных данных. В этом случае, если предоставление персональных данных является обязательным в соответствии с федеральным законодательством, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3.5. Получение Оператором согласия субъекта персональных данных на обработку его персональных данных.

3.5.1. В случаях, предусмотренных Федеральным законом  «О персональных данных», обработка персональных данных Оператором осуществляется только с согласия в письменной форме субъекта персональных данных.

Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признаётся согласие субъекта персональных данных в форме электронного документа, подписанного электронной подписью, соответствующей требованиям статьи 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».

Согласие на обработку персональных данных вступает в силу с момента его подписания субъектом персональных данных и действует до достижения целей обработки персональных данных, а также в течение периода времени, необходимого для соблюдения Оператором требований законодательства Российской Федерации о порядке хранения отдельных видов документов, содержащих персональные данные.

3.5.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В соответствии с частью 2 статьи 9 Федерального закона «О персональных данных» в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии следующих оснований:

для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

в иных случаях, предусмотренных частью 1 статьи 6 Федерального закона «О персональных данных».

3.5.3. Обработка персональных данных, необходимых для организации приёма и рассмотрения обращений граждан, объединений граждан  и юридических лиц, может осуществляться без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных», Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

3.5.4. Обработка персональных данных гражданских служащих  и работников исполнительных органов государственной власти Ульяновской области в целях, указанных в подпунктах 1 и 2 пункта 2.2 раздела 2 настоящей Политики, ведётся Оператором на основании соглашений о взаимодействии в сфере кадровой работы и профилактики коррупционных и иных правонарушений, заключённых между Правительством Ульяновской области и каждым исполнительным органом государственной власти Ульяновской области, и с согласия субъектов персональных данных.

3.6. Соблюдение Оператором конфиденциальности при обработке персональных данных.

3.6.1. Персональные данные являются конфиденциальной информацией. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.

В случае, если третье лицо, обратившееся к Оператору с запросом на получение персональных данных, не уполномочено федеральным законодательством на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных, Оператор обязан отказать в предоставление персональных данных. Лицу, обратившемуся с запросом
на получение персональных данных, выдаётся письменное уведомление об отказе в предоставлении персональных данных.

3.6.2. Лица, имеющие допуск к персональным данным, предупреждаются Оператором о том, что обрабатываемые ими персональные данные могут быть использованы лишь в целях, для которых они обрабатываются, и подписывают обязательство о неразглашении информации, содержащей персональные данные.

Перечень лиц, имеющих доступ к персональным данным, обрабатываемым Оператором, утверждается распоряжением Правительства Ульяновской области. Указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения ихдолжностных обязанностей.

Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа
к персональным данным, определяется нормативными правовыми актами Губернатора Ульяновской области и Правительства Ульяновской области.

3.7. Меры, направленные на выполнение Оператором обязанностей, предусмотренных Федеральным законом «О персональных данных».

3.7.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:

1) назначение Оператором ответственного за организацию обработки персональных данных;

2) издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, нормативных правовых актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, нормативным правовым актам Губернатора Ульяновской области и Правительства Ульяновской области;

5) оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации. Возможный вред субъектам персональных данных оценивается в соответствии с методикой и на основании экспертных значений и осуществляется в рамках проведения Оператором внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Правительстве Ульяновской области;

6) ознакомление лиц, имеющих допуск к персональным данным и непосредственно осуществляющих обработку персональных данных,   с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, нормативными правовыми актами Губернатора Ульяновской области и Правительства Ульяновской области по вопросам обработки персональных данных.

3.7.2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор при осуществлении сбора персональных данных с использованием информационно-телекоммуникационной сети «Интернет» обязан опубликовать в информационно-телекоммуникационной сети «Интернет» документ, определяющий его политику в отношении обработки персональных данных,  и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием информационно-телекоммуникационной сети «Интернет».

3.8. Меры по обеспечению Оператором безопасности персональных данных при их обработке.

3.8.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.

3.8.2. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований  к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;

3) применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учётом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, атакже обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационных системах персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.

3.8.3. Обеспечение безопасности персональных данных при ихобработке, осуществляемой без использования средств автоматизации, достигается, в частности:

1) определением мест хранения персональных данных (материальных носителей) в отношении каждой категории персональных данных и утверждением перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

2) обеспечением раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

3) определением перечня мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, к которым в том числе относятся:

а) хранение материальных носителей в специальных шкафах, сейфах;

б) опечатывание (опломбирование) шкафов и сейфов, в которых хранятся персональные данные, хранение ключей от сейфов и шкафов, печатей и пломбиров в местах, недоступных для посторонних лиц;

в) сдача под охрану помещений, где осуществляется работа с персональными данными;

г) запрет доступа к персональным данным (материальным носителям) иных лиц, кроме указанных в подпункте 3.6.2 пункта 3.6 настоящего раздела;

д) контроль доступа в помещения, где осуществляется работа с персональными данными, иных лиц, включая соблюдение пропускного режима;

е) запрет нахождения посторонних лиц в служебных помещениях, где располагаются шкафы, сейфы, персональные компьютеры, в которых находятся персональные данные;

ж) запрет на обработку персональных данных в присутствии лиц, не допущенных к их обработке;

з) осуществление руководителями подразделений, образуемых в Правительстве Ульяновской области, контроля за хранением и использованием материальных носителей персональных данных.

3.9. Осуществление Оператором хранения персональных данных.

3.9.1. Не допускается хранение персональных данных дольше, чем это необходимо для достижения целей их обработки либо чем это определено законодательством Российской Федерации.

3.9.2. Персональные данные субъектов персональных данных на материальных носителях формируются в дела в соответствии со сводной номенклатурой дел Правительства Ульяновской области и хранятся в подразделениях, образуемых в Правительстве Ульяновской области, к полномочиям которых относится обработка персональных данных в соответствии с утверждёнными положениям о них, и в архиве Правительства Ульяновской области.

3.9.3. Сроки хранения персональных данных субъектов персональных данных на материальных носителях в подразделениях, образуемых в Правительстве Ульяновской области, и в архиве Правительства Ульяновской области определены в соответствии с законодательством Российской Федерации в сводной номенклатуре дел Правительства Ульяновской области,
в частности:

1) персональные данные, содержащиеся в личных делах лиц, замещающих государственные должности, гражданских служащих Правительства Ульяновской области, работников Правительства Ульяновской области хранятся в подразделении, образуемом вПравительстве Ульяновской области, ответственном за организацию прохождения государственной гражданской службы Ульяновской области, реализацию законодательства о гражданской службе в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, кадровое и организационно-штатное обеспечение деятельности Правительства Ульяновской области, в течение периода прохождения службы (работы) и 10 лет после увольнения с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где хранятся в течение 50 лет с момента увольнения;

2) персональные данные, содержащиеся в распоряжениях Губернатора Ульяновской области по личному составу в отношении лиц, замещающих государственные должности, гражданских служащих Правительства Ульяновской области, работников Правительства Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за организацию прохождения государственной гражданской службы Ульяновской области, реализацию законодательства огражданской службе в Правительстве Ульяновской области иисполнительных органах государственной власти Ульяновской области, кадровое и организационно-штатное обеспечение деятельности Правительства Ульяновской области, в течение 2 лет с последующим формированием и передачей указанных документов архив Правительства Ульяновской области, где хранятся в течение 5 лет с даты регистрации распоряжения;

3) персональные данные, содержащиеся в распоряжениях Губернатора Ульяновской области по кадровым вопросам в отношении лиц, замещающих государственные должности, гражданских служащих Правительства Ульяновской области, работников Правительства Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за организацию прохождения государственной гражданской службы Ульяновской области, реализацию законодательства огражданской службе в Правительстве Ульяновской области иисполнительных органах государственной власти Ульяновской области, кадровое и организационно-штатное обеспечение деятельности Правительства Ульяновской области,
в течение 2 лет, с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где хранятся в течение 50 лет с даты регистрации распоряжения;

4) персональные данные, содержащиеся в личных делах гражданских служащих исполнительных органов государственной власти Ульяновской области и работников исполнительных органов государственной власти Ульяновской области, хранятся в подразделении, образуемом вПравительстве Ульяновской области, ответственном за организацию прохождения государственной гражданской службы Ульяновской области, реализацию законодательства о гражданской службе в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, кадровое и организационно-штатное обеспечение деятельности Правительства Ульяновской области, в течение периода прохождения службы (работы), после увольнения личное дело передаётся в соответствующий исполнительный орган государственной власти Ульяновской области;

5) персональные данные, собираемые для проведения конкурсов   на замещение вакантных должностей государственной гражданской службы в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном
заорганизацию прохождения государственной гражданской службы Ульяновской области, реализацию законодательства о гражданской службе в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, кадровое и организационно-штатное обеспечение деятельности Правительства Ульяновской области, в течение 3 лет со дня завершения конкурса;

6) персональные данные, собираемые при проведении конкурсов  на включение в кадровый резерв Ульяновской области и резерв управленческих кадров Ульяновской области, хранятся в подразделении, образуемом
в Правительстве Ульяновской области, в период прохождения конкурсного отбора и нахождения субъекта персональных данных всоответствующем резерве, в последующем подлежат хранению в течение 3лет в подразделении, образуемом в Правительстве Ульяновской области, ответственном за организацию прохождения государственной гражданской службы Ульяновской области, реализацию законодательства о гражданской службе в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, кадровое и организационно-штатное обеспечение деятельности Правительства Ульяновской области. Решения, протоколы и распоряжения Губернатора Ульяновской области о включении в кадровый резерв Ульяновской области и резерв управленческих кадров Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 15 лет споследующим формированием и передачей указанных документов в архив Правительства Ульяновской области на постоянное хранение;

7) персональные данные, содержащиеся в наградных листах лиц, награждённых государственными наградами Российской Федерации, наградами Ульяновской области, мерами поощрения Губернатора Ульяновской области, наградами Губернатора Ульяновской области, внаградных листах лиц, замещающих государственные должности, гражданских служащих Правительства Ульяновской области, работников Правительства Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за организацию прохождения государственной гражданской службы Ульяновской области, реализацию законодательства о гражданской службе в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, кадровое и организационно-штатное обеспечение деятельности Правительства Ульяновской области, в течение одного года споследующим формированием дел и передачей указанных документов вархив Правительства Ульяновской области на постоянное хранение;

8) персональные данные, обработка которых ведётся в целях формирования налоговой, бюджетной отчётности, отчётности  во внебюджетные фонды Российской Федерации по начисленным    и уплаченным страховым взносам, осуществления начислений на выплаты  по оплате труда, выплат и компенсаций в Правительстве Ульяновской области, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за обеспечения ведения бухгалтерского учёта в Правительстве Ульяновской области, в течение 5 лет с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где они хранятся в течение 50 лет после достижения целей обработки персональных данных;

9) персональные данные, обрабатываемые в целях соблюдения законодательства Российской Федерации о противодействии коррупции, указанных в подпунктах 4 и 5 пункта 2.1 раздела 2 настоящей Политики, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за реализацию единой государственной политики в области противодействия коррупции, профилактики коррупционных и иных правонарушений, в течение 5 лет с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где они хранятся в течение 50 лет после достижения целей обработки персональных данных;

10) персональные данные, обрабатываемые в целях организации приёма граждан, обеспечения объективного всестороннего и своевременного рассмотрения устных и письменных обращений граждан, объединений граждан и юридических лиц, а также обращений в форме электронного документа, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за организацию документационного обеспечения, обеспечение рассмотрения устных и письменных обращений граждан Российской Федерации, иностранных граждан и лиц без гражданства, организаций и общественных объединений, в течение одного года с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где они хранятся в течение 5 лет после достижения целей обработки персональных данных;

11) персональные данные, обрабатываемые при организации производства по делам об административных правонарушениях, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за обеспечение реализации Губернатором Ульяновской области и Правительством Ульяновской области полномочий в сфере обеспечения законности, правопорядка, общественной безопасности, в течение 5 летпосле достижения целей обработки персональных данных;

12) персональные данные, подлежащие обработке при оформлении допуска к сведениям, составляющим государственную тайну, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за обеспечение режима секретности при проведении всех видов секретных работ, при обращении с секретными документами в Правительстве Ульяновской области, в течении всего срока действия допуска и 5 лет после его окончания;

13) персональные данные, содержащиеся в договорах об обучении, заключённых Правительством Ульяновской области, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за организацию прохождения государственной гражданской службы Ульяновской области, реализацию законодательства о гражданской службе в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, кадровое и организационно-штатное обеспечение деятельности Правительства Ульяновской области, в течение 2 лет с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где они хранятся в течение 5 лет с даты заключения договоров;

14) персональные данные, собираемые в целях содействия реализации конституционных полномочий Президента Российской Федерации по осуществлению помилования, обеспечения участия Губернатора Ульяновской области и представителей общественности в рассмотрении вопросов, связанных с помилованием, уничтожаются при достижении цели обработки, при этом протоколы, заключения, представления по принятым решениям о помиловании передаются в архив Правительства Ульяновской области на постоянное хранение;

15) персональные данные, обрабатываемые в целях обеспечения деятельности судов общей юрисдикции в Российской Федерации при рассмотрении уголовных дел, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за обеспечение реализации Губернатором Ульяновской области и Правительством Ульяновской области полномочий в сфере обеспечения законности, правопорядка, общественной безопасности, в течение 5 летпосле достижения целей обработки персональных данных;

16) персональные данные, обрабатываемые в целях документационного обеспечения заседаний комиссии по делам несовершеннолетних и защите их прав по принятию решения, указанного в подпункте 15 пункта 2.1 раздела 2 настоящей Политики, хранятся в подразделении, образуемом в Правительстве Ульяновской области, ответственном за обеспечение деятельности комиссии по делам несовершеннолетних и защите их прав при правительстве Ульяновской области, в течение 5 лет с последующим формированием дел и передачей указанных документов в архив Правительства Ульяновской области на постоянное хранение;

17) персональные данные, содержащиеся в обращениях граждан, объединений граждан и юридических лиц, поступающих в адрес Уполномоченного по правам человека в Ульяновской области, Уполномоченного по защите прав предпринимателей в Ульяновской области, Уполномоченного по правам ребёнка в Ульяновской области, хранятся  в соответствующих подразделениях, образуемых в Правительстве Ульяновской области, в течение 5 лет после достижения целей обработки.

3.9.4. Персональные данные субъектов персональных данных, внесённые в информационные системы персональных данных Оператора, хранятся в базах данных на сервере.

3.9.5. Срок хранения персональных данных, внесённых в информационные системы персональных данных Правительства Ульяновской области, должен соответствовать сроку хранения на материальных носителях.

3.10. Актуализация, исправление и блокирование Оператором персональных данных.

3.10.1. В процессе обработки персональных данных субъектов персональных данных Оператору необходимо обеспечивать контроль за актуальностью, достоверностью и полнотой персональных данных,  их регулярное обновление и внесение по мере необходимости соответствующих изменений.

Актуализация и исправление персональных данных осуществляются также на основании заявления субъекта персональных данных. Заявления субъектов персональных данных рассматриваются в соответствии с разделом 4 настоящей Политики.

3.10.2. Блокирование персональных данных осуществляется Оператором на основании заявления субъекта персональных данных в следующих случаях:

1) предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся
к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

2) выявления неправомерных действий с персональными данными Оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных.

3.11. Уничтожение Оператором персональных данных.

3.11.1. Персональные данные подлежат уничтожению в следующих случаях:

1) при достижении целей обработки персональных данных и по истечении сроков их хранения;

2) при выявлении несоответствия содержания и объёма персональных данных заявленным целям обработки;

3) предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся
к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.11.2. Уничтожение персональных данных осуществляется комиссией по уничтожению персональных данных (далее – комиссия), состав которой утверждается Первым заместителем Губернатора Ульяновской области – руководителем администрации Губернатора Ульяновской области. В состав комиссии в обязательном порядке включаются представители подразделения, образуемого в Правительстве Ульяновской области, в котором велась обработка уничтожаемых персональных данных, а также представители подразделения, образуемого в Правительстве Ульяновской области, обеспечивающим организацию мероприятий по технической защите информации в структурных подразделениях Правительства Ульяновской области.

Комиссия состоит из председателя комиссии, заместителя председателя комиссии, секретаря комиссии и членов комиссии.

Заседания комиссии инициируются подразделением, образуемым в Правительстве Ульяновской области, ведущим обработку персональных данных, при возникновении необходимости уничтожения персональных данных. Факт уничтожения персональных данных или носителей персональных данных фиксируется в акте об уничтожении персональных данных субъектов персональных данных.

3.11.3. Уничтожение персональных данных на электронных носителях производится путём механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Уничтожение персональных данных на бумажных носителях производится путём сжигания или измельчения.

При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных на данном материальном носителе (удаление, вымарывание).

3.11.4. Управлением делопроизводства и работы с обращениями граждан и организаций администрации Губернатора Ульяновской области осуществляется выделение архивных документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

 

4.  Порядок рассмотрения запросов субъектов персональных данных или их представителей

 

4.1. Субъект персональных данных может направить Оператору запрос    или обращение для получения информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые Оператором способы обработки персональных данных;

наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник ихполучения, если иной порядок представления таких данных непредусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

информацию об осуществлённой или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество (последнее – при наличии) иадрес лица, осуществляющего обработку персональных данных попоручению Оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.2. Субъект персональных данных может направить запрос  или обращение Оператору в случае, если персональные данные, касающиеся данного субъекта, являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, при этом субъект персональных данных вправе требовать от Оператора уточнения, блокирования, уничтожения таких персональных данных.

4.3. Субъект персональных данных может направить Оператору запрос, содержащий отзыв согласия на обработку персональных данных. При наличии оснований, указанных в пункте 3.5 раздела 3 настоящей Политики, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных.

4.4. При предоставлении персональных данных, указанных в пункте 4.1 настоящего раздела, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4.5. Право субъекта персональных данных может быть ограничено в соответствии с Федеральным законом «О персональных данных» и другими федеральными законами.

4.6. Информация, указанная в пункте 4.1 настоящего раздела, предоставляется субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных  данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью, соответствующей требованиям статьи 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».

4.7. Порядок рассмотрения запросов и обращений субъектов персональных данных определён Инструкцией по работе с обращениями и запросами граждан и организаций в Правительстве Ульяновской области, утверждённой постановлением Правительства Ульяновской области от 27.05.2013 № 195-П  «Об утверждении Инструкции по работе с обращениями и запросами граждан и организаций в Правительстве Ульяновской области».

4.8. Запросы и обращения субъектов персональных данных о предоставлении, изменении, блокировании или уничтожении ихперсональных данных рассматриваются в подразделениях, образуемых вПравительстве Ульяновской области, осуществляющих обработку данных субъекта персональных данных, направившего запрос или обращение.

4.9. В случае, если информация, указанная в пункте 4.1 настоящего раздела, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения информации, указанной в пункте 4.1настоящего раздела, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения информации, указанной в пункте 4.1настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объёме по результатам рассмотрения первоначального обращения. Повторный запрос также должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса в случае его несоответствия требованиям, предусмотренным для направления повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

4.10. В случае, если в ходе рассмотрения запроса, обращения субъектом персональных данных Оператору представлены сведения, подтверждающие, что персональные данные, относящиеся к этому субъекту персональных данных, являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня представления таких сведений. При представлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 рабочих дней со дня представления таких сведений.

4.11. При получении запроса от уполномоченного органа по защите прав субъектов персональных данных Оператор обязан представить запрашиваемую информацию в этот орган в течение 30 дней с даты получения такого запроса.

 

5. Ответственность 

 

Лица, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законодательством Российской Федерации в области персональных данных, а также требований к защите персональных данных, установленных в соответствии с законодательством Российской Федерации в области персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. 

________________________

 

Политика в отношении обработки персональных данных в Правительстве Ульяновской области (в формате  .doc, 71 Кб)

Добавлено: 1 октября 2015 года, 16:15

Изменено: 13 июля 2020 года, 15:00