Политика
администрации муниципального образования Веневский район
в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (п. 2 ст. 18.1) и излагает систему основных принципов, применяемых в отношении обработки персональных данных.
1.2. Настоящий документ определяет политику администрации муниципального образования Веневский район (далее – Администрация, Оператор) в отношении обработки персональных данных и определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.
1.3. Важным условием реализации целей деятельности Оператора является обеспечение необходимого и достаточного уровня информационной безопасности персональных данных (ПДн).
1.4. Политика распространяется на персональные данные (далее – ПДн), полученные как до, так и после вступления в силу настоящей Политики.
1.5. Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных.
1.6. Политика является общедоступной и подлежит размещению на официальном сайте Администрации или Оператор обеспечивает неограниченный доступ к настоящему документу иным образом.
1.7. Основные понятия, используемые в Политике
Основные понятия, используемые в настоящей Политике, соответствуют основным понятиям, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:
• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• конфиденциальность персональных данных – обязательное для выполнения Оператором и иным лицом, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2. Цели обработки персональных данных
2.1. Обработка персональных данных в Администрации ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Оператор осуществляет обработку персональных данных в следующих целях:
• ведение кадрового делопроизводства;
• осуществление антикоррупционной деятельности;
• осуществление закупочной деятельности;
• ведение документооборота;
• прием и рассмотрение обращений граждан;
• оказание муниципальных услуг;
• обеспечение взаимодействия с другими государственными и муниципальными информационными системами;
• реализация процедур по поощрениям / награждениям граждан;
• организация работы комиссии по делам несовершеннолетних и защите их прав.
3. Категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных
3.1. В Администрации для каждой цели обработки персональных данных определены категории и перечень обрабатываемых персональных данных, а также категории субъектов, персональные данные которых обрабатываются. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки, не допускается обработка избыточных персональных данных.
3.2. С целью ведения кадрового делопроизводства Оператор осуществляет обработку персональных данных следующих субъектов:
• соискатели на замещение вакантной должности;
• муниципальные служащие и лица, занимающие должности, не относящихся к должностям муниципальной службы (далее – работники);
• родственники муниципальных служащих и лиц, занимающих должности, не относящиеся к должностям муниципальной службы (далее – родственники работников);
• уволенные муниципальные служащие и лица, занимающие должности, не относящиеся к должностям муниципальной службы (далее – уволенные работники);
• лица, включенные / претендующие на включение в кадровый резерв;
• родственники лиц, включенных / претендующих на включение в кадровый резерв.
Перечень персональных данных, обрабатываемых Оператором в рамках данной цели: фотографическое изображение лица; фамилия, имя, отчество; сведения о смене фамилии, имени, отчества; год рождения; месяц рождения; дата рождения; место рождения; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; адрес регистрации; адрес места жительства; почтовый адрес; сведения об образовании; сведения о владении иностранными языками; сведения о наличии классного чина федеральной гражданской службы, дипломатического ранга, воинского или специального звания, классного чина правоохранительной службы, классного чина гражданской службы субъекта РФ, квалификационного разряда государственной службы, квалификационного разряда или классного чина муниципальной службы (кем и когда присвоены); сведения об отсутствии судимости; сведения о наличии допуска к государственной тайне; сведения о пребывании за границей; семейное положение, состав семьи; сведения о трудовой деятельности, в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации; отношение к воинской обязанности, сведения о воинском учете; ученая степень, ученое звание, когда присвоены, номера дипломов; пол; адрес электронной почты; номер телефона; гражданство; профессия; сведения об отсутствии заболевания, препятствующего поступлению на государственную гражданскую службу РФ и муниципальную службу или ее прохождению; доходы; СНИЛС; ИНН; реквизиты банковской карты; номер лицевого счета; должность; дата регистрации по месту жительства; табельный номер; сведения о государственных наградах, иных наградах (поощрениях), почетных званиях, знаках отличия; информация о квалификации, аттестации, профессиональной подготовке; информация об отпусках; информация о командировках; сведения о страховых взносах; сведения об инвалидности (группа и сведения из ИПРА); данные свидетельства о заключении брака; данные трудовой книжки; иные сведения, содержащиеся в форме Т2; степень родства; место учебы; данные свидетельства о рождении ребенка; взносы; данные водительского удостоверения (серия, номер, категория ТС, дата выдачи); сведения о приеме и увольнении (переводе); стаж работы в данной организации; иные сведения, указанные в резюме.
3.3. С целью осуществления антикоррупционной деятельности Оператор осуществляет обработку персональных данных следующих субъектов:
• работники;
• родственники работников.
Перечень персональных данных, обрабатываемых Оператором в рамках данной цели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; данные документа, удостоверяющего личность; место работы; должность; адрес регистрации; адрес места жительства; степень родства; сведения о доходах; сведения о расходах; имущественное положение.
3.4. С целью осуществления закупочной деятельности Оператор осуществляет обработку персональных данных следующих субъектов:
• контрагенты, представители контрагентов;
• работники.
Перечень персональных данных, обрабатываемых Оператором в рамках данной цели: фамилия, имя, отчество; данные документа, удостоверяющего личность; ИНН; адрес регистрации; почтовый адрес; должность; место работы; адрес электронной почты; номер телефона; иные данные сертификата электронной подписи.
3.5. С целью ведения документооборота Оператор осуществляет обработку персональных данных следующих субъектов:
• отправители и получатели корреспонденции;
• работники.
Перечень персональных данных, обрабатываемых Оператором в рамках данной цели: фамилия, имя, отчество; должность; адрес электронной почты; номер телефона; место работы; почтовый адрес; сведения их распоряжений по личному составу.
3.6. С целью приема и рассмотрения граждан Оператор осуществляет обработку персональных данных следующих субъектов:
• физические лица; направившие обращения в Администрацию;
• лица, указанные в документах физических лиц, направивших обращения в Администрацию;
• работники.
Перечень персональных данных, обрабатываемых Оператором в рамках данной цели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; адрес регистрации; адрес места жительства; почтовый адрес; адрес электронной почты; номер телефона; данные документа, удостоверяющего личность; иные сведения, представленные в обращении.
3.7. С целью оказания муниципальных услуг Оператор осуществляет обработку персональных данных следующих субъектов:
• получатели услуг;
• лица, указанные в документах лиц, получателей услуг;
• работники.
Перечень персональных данных, обрабатываемых Оператором в рамках данной цели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; СНИЛС; номер телефона; почтовый адрес; адрес электронной почты; адрес места жительства; адрес регистрации; данные документа, удостоверяющего личность; семейное положение и состав семьи; сведения о доходах; отношение к воинской обязанности, сведения о воинском учете; данные документа, удостоверяющего личность за пределами Российской Федерации; имущественное положение; должность; место работы; иные сведения, необходимые для предоставления услуги.
3.8. С целью обеспечения взаимодействия с другими государственными и муниципальными информационными системами Оператор осуществляет обработку персональных данных следующих субъектов:
• работники;
• бывшие работники;
• получатели услуг;
• лица, указанные в документах лиц, получателей услуг.
Перечень персональных данных, обрабатываемых Оператором в рамках данной цели: фамилия, имя, отчество; должность; адрес электронной почты; СНИЛС; ИНН; иные сведения сертификата электронной подписи; иные данные, содержащиеся в запросе.
3.9. С целью реализации процедур по поощрениям / награждениям граждан Оператор осуществляет обработку персональных данных лиц, представленных к поощрениям / награждениям.
Перечень персональных данных, обрабатываемых Оператором в рамках данный цели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; место работы; должность; сведения об образовании; сведения о трудовой деятельности; стаж работы в данной организации; сведения о государственных нардах, иных наградах (поощрениях), почетных званиях, знаках отличия.
3.10. С целью организации деятельности муниципальной комиссии по делам несовершеннолетних и защите их прав Оператор осуществляет обработку персональных данных следующих субъектов:
• лица, не достигшие совершеннолетнего возраста;
• родители / законные представители лиц, не достигших совершеннолетнего возраста.
Перечень персональных данных, обрабатываемых Оператором в рамках данной цели: фамилия, имя, отчество; сведения о смене фамилии, имени, отчества, дата и причина изменения; год рождения; месяц рождения; дата рождения; место рождения; адрес места жительства: адрес регистрации; гражданство; пол; данные документа, удостоверяющего личность; номер телефона, адрес электронной почты; почтовый адрес; СНИЛС; данные документа, содержащиеся в свидетельстве о рождении; данные свидетельства государственной регистрации актов гражданского состояния; семейное положение, состав семьи и сведения о близких родственниках (отце, матери, братьях, сестрах и детях), а также о муже (жене), в том числе бывших; категория семьи; социальное положение; сведения, содержащиеся в исполнительных листах; сведения о состоянии здоровья (данные медицинских заключений, удостоверений, справок МСЭ и иные сведения); фотографическое изображение лица; данные судебных решений об усыновлении (удочерении), лишении родительских прав, о признании членом семьи, о признании недееспособным (дееспособным), о принудительной госпитализации гражданина в психиатрический стационар и принудительном психиатрическом освидетельствовании, а также судебных решений об установлении юридических фактов; иные данные, необходимые для работы муниципальной комиссии по делам несовершеннолетних и защите их прав.
4. Правовые основания обработки персональных данных
4.1. Обработка персональных данных в Администрации осуществляется в соответствии со следующими основными правовыми актами:
• Конституция Российской Федерации;
• Бюджетный кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Федеральный закон РФ от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон РФ от 16.07.1999 г. № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон РФ от 06.10.2003 г. № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации»;
• Федеральный закон РФ от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
• Федеральный закон РФ от 02.03.2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации»;
• Федеральный закон РФ от 25.12.2008 г. № 273-ФЗ «О противодействии коррупции»;
• Федеральный закон РФ от 09.02.2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;
• Федеральный закон РФ от 27.07.2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
• Федеральный закон РФ от 22.03.2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
• Иные нормативные правовые акты Российской Федерации;
• Иные нормативные правовые акты Тульской области;
• Устав Администрации;
• Иные нормативные документы Оператора.
5. Порядок и условия обработки персональных данных
5.1. При обработке ПДн Оператором обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн Оператором.
5.2. Персональные данные поступают Администрации непосредственно от субъекта ПДн или от лиц, не являющихся субъектами ПДн. При этом Оператор выполняет все требования к осуществлению обработки таких данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также обеспечивает безопасность полученных персональных данных.
5.3. Обработка ПДн Оператором осуществляется только с согласия субъектов ПДн за исключением следующих случаев:
▪ обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
▪ обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
▪ обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем; заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающий случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
▪ обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц;
▪ осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.4. Режим обработки предусматривает следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, обезличивание, удаление, уничтожение персональных данных.
5.5. Персональные данные обрабатываются Оператором как с помощью средств вычислительной техники, так и без использования таких средств и могут быть представлены как на бумажных, так и на электронных носителях. При этом Оператор выполняет все требования к автоматизированной и неавтоматизированной обработке ПДн, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также Постановлением Правительства от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5.6. Оператор не передает сведения, содержащие персональные данные граждан третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
5.7. По мотивированному запросу исключительно в целях выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:
• в судебные органы в связи с осуществлением правосудия;
• в органы государственной безопасности;
• в органы прокуратуры;
• органы внутренних дел;
• в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
5.8. Оператор осуществляет обработку специальных категорий ПДн.
5.9. Оператор не осуществляет обработку биометрических ПДн.
5.10. Оператор не осуществляет трансграничную передачу ПДн на территории иностранных государств.
5.11. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. В договоре должны быть определены: перечень персональных данных; перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению Оператора; цели обработки персональных данных. Кроме этого, в договоре должны быть установлены следующие обязанности для лица, осуществляющего обработку персональных данных по поручению Оператора: соблюдать конфиденциальность персональных данных, а также требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона «О персональных данных»; по запросу Оператора персональных данных в течение срока действия поручения, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со статьей 6 Федерального закона «О персональных данных»; обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».
5.12. В целях внутреннего информационного обеспечения Администрация может создавать справочники, адресные книги и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.
5.13. Хранение персональных данных субъектов персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами Администрации:
• персональные данные соискателей на замещение вакантных должностей, подлежат уничтожению в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных – прием/отказ в приеме на работу;
• персональные данные, содержащиеся в распоряжениях (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в течение трех лет, с последующим формированием и передачей указанных документов на архивное хранение в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет или 75 лет – если оформлены до 2003 года;
• персональные данные, содержащиеся в личных делах:
▪ муниципальных служащих, хранятся в течение десяти лет;
▪ лиц, занимающих должности, не относящиеся к должностям муниципальной службы, хранятся в течение трех лет
с последующим формированием и передачей указанных документов на архивное хранение в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет или 75 лет – если оформлены до 2003 года;
• персональные данные, содержащиеся в распоряжениях о предоставлении отпусков, о командировках работников Оператора, подлежат хранению в течение пяти лет с последующим уничтожением;
• персональные данные контрагентов и их представителей, содержащиеся в договорах (иных документах договорного пакета), подлежат хранению в течение пяти лет с последующим уничтожением;
• персональные данные лиц, включенных / претендующих на включение в кадровый резерв, подлежат хранению в течении пяти лет с последующим уничтожением. В случае отказа подлежат уничтожению в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных (отказ о включении в кадровый резерв);
• персональные данные физических лиц, направивших обращения в Администрацию; лиц, указанных в документах физических лиц, направивших обращение в Администрацию; получателей услуг; уполномоченных представителей получателей услуг; представителей юридических лиц – получателей услуг; лиц, указанных в документах получателей услуг, подлежат хранению в течение пяти лет с последующим уничтожением;
• персональные данные отправителей и получателей корреспонденции подлежат хранению в течение пяти лет с последующим уничтожением;
• персональные данные лиц, представленных к награждению, подлежат хранению в течение пяти лет с последующим формированием и передачей указанных документов на постоянное архивное хранение в порядке, предусмотренном законодательством Российской Федерации;
• персональные данные лиц, не достигших совершеннолетнего возраста, родителей/законных представителей лиц, не достигших совершеннолетнего возраста, содержащиеся в документах, предоставленных в комиссию по делам несовершеннолетних и защите их прав, подлежат хранению в течение десяти лет после вынесения решения и составления административного протокола с последующим уничтожением.
5.14. Оператором обеспечивается раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.
6. Актуализация, исправление, удаление и уничтожение персональных данных
6.1. В случае выявления неправомерной обработки ПДн при обращении (по запросу) субъекта (или его представителя) либо уполномоченного органа по защите прав субъектов ПДн Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, которые относятся к данному субъекту, или обеспечивает их блокирование (если обработка персональных данных осуществляется третьим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
6.2. В случае выявления неточных персональных данных при обращении (по запросу) субъекта (или его представителя) или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, которые относятся к данному субъекту, или обеспечивает их блокирование (если обработка персональных данных осуществляется третьим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.
6.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом (или его представителем) либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется третьим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором (или лицом, действующим по его поручению), Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных. Если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта (или его представителя), а также уполномоченный орган по защите прав субъектов персональных данных (в случае, если обращение (запрос) было направлено указанным органом).
6.5. В случае достижения цели обработки персональных данных Оператор осуществляет прекращение обработки персональных данных (или обеспечивает ее прекращение) и уничтожает персональные данные (или обеспечивает их уничтожение) в срок, не превышающий тридцати дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект, и иным соглашением между Оператором и субъектом, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г. или другими федеральными законами.
6.6. В случае отзыва субъектом согласия на обработку его персональных данных Оператор осуществляет прекращение их обработки или обеспечивает прекращение такой обработки. В случае если сохранение персональных данных более не требуется для целей обработки персональных данных, Оператор уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект, иным соглашением между Оператором и субъектом либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г. или другими федеральными законами. Оператор вправе продолжить обработку персональных данных субъекта при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 г.
6.7. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 г. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.8. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7. Права субъектов персональных данных, обрабатываемых Оператором
7.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
▪ подтверждение факта обработки ПДн Оператором;
▪ правовые основания и цели обработки ПДн;
▪ цели и применяемые Оператором способы обработки ПДн;
▪ наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
▪ обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
▪ сроки обработки ПДн, в том числе сроки их хранения;
▪ порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
▪ информацию об осуществленной или о предполагаемой трансграничной передаче данных;
▪ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
▪ информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ «О персональных данных»;
▪ иные сведения, предусмотренные федеральными законами.
7.2. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3. Сведения, касающиеся обработки ПДн субъекта, предоставляются ему Оператором в доступной форме, и не содержат ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
7.4. ПДн предоставляются субъекту или его законному представителю при их обращении или поступлении соответствующего запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора, дата заключения договора, условное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.5. Субъект ПДн вправе потребовать у Оператора форму запроса информации, касающейся обработки ПДн субъекта. Для получения формы запроса субъекту необходимо обратиться по телефону 8(48745)24805,21233 или по адресу электронной почты itvenev@tularegion.org , ased_mo_venev@tularegion.ru.
7.6. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
7.7. Сведения, касающиеся обработки ПДн субъекта, предоставляются ему или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя в течение десяти рабочих дней с момента обращения, либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор предоставляет ответ субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
7.8. В случае если сведения, касающиеся обработки ПДн субъекта, а также если обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
7.9. Субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в целях получения сведений, касающихся обработки ПДн субъекта, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцати дней после первоначального обращения, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися обработки ПДн субъекта, должен содержать обоснование направления повторного запроса.
7.10. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
7.11. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Обязанности субъекта ПДн в целях обеспечения достоверности его персональных данных
8.1. До начала обработки персональных данных субъект обязан предоставлять Оператору достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации.
8.2. При необходимости в случае изменения персональных данных (смена паспорта, места жительства и т.д.) сообщать об этом Оператору.
9. Исполнение обязанностей Оператора персональных данных
9.1. Оператор исполняет обязанности, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в том числе:
▪ сообщает субъекту ПДн или его представителю информацию, касающуюся обработки его ПДн, или предоставляет мотивированные отказы в предоставлении такой информации в форме и случаях и в сроки, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
▪ разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку в предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» случаях;
▪ вносит необходимые изменения в ПДн, уничтожает их, уведомляет субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы, в срок и в случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
▪ уведомляет уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, в случае изменения сведений, касающихся обработки ПДн субъектов, а также в случае прекращения обработки ПДн в форме, в срок и случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
▪ сообщает в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
▪ уведомляет уполномоченный орган по защите прав субъектов ПДн в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
▪ в случае достижения цели обработки ПДн обеспечивает прекращение обработки ПДн и их уничтожение в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
▪ обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
9.2. Оператором для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие необходимые и достаточные меры:
▪ назначен ответственный за организацию обработки ПДн;
▪ изданы документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
▪ применены правовые, организационные и технические меры по обеспечению безопасности ПДн;
▪ осуществляется внутренний контроль (аудит) соответствия обработки ПДн требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политики, локальных актов Оператора;
▪ проведена оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований федерального законодательства о ПДн, произведено соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов;
▪ работники Оператора, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов по вопросам обработки ПДн;
▪ определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных Оператора, разработаны модели угроз безопасности информации в информационных системах;
▪ применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
▪ исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;
▪ применяются прошедшие в установленном порядке процедуру оценки соответствия средств защиты информации;
▪ обеспечивается учет машинных носителей персональных данных;
▪ принимаются меры, направленные на обнаружение фактов несанкционированного доступа к персональным данным, и по реагированию на соответствующие инциденты;
▪ обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
▪ установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных;
▪ осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
10.1. Лица, виновные в нарушении требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» во исполнение которого разработана настоящая Политика, несут гражданско-правовую, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
10.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
11. Изменение Политики
11.1. Оператор имеет право вносить изменения в настоящую Политику.
11.2. Новая редакция Политики вступает в силу с даты ее утверждения.