Контрольно-счетная палата города Орска
г. Орск, просп. Ленина, д. 29
Наш адрес
Приемная
Политика
обработки персональных данных
в Контрольно-счетной палате города Орска
1. Общие положения
1.1. Настоящая политика обработки и защиты персональных данных в Контрольно-счетной палате города Орска (далее – Политика) разработана в соответствии с требованием пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ), постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и иными нормативными правовыми актами, регулирующими правоотношения в сфере обработки персональных данных, и действует в отношении всех персональных данных, обрабатываемых в Контрольно-счетной палате города Орска (далее – Контрольно-счетная палата).
1.2. Основные понятия, используемые в Политике:
персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
общедоступные ПДн – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; неавтоматизированная обработка ПДн (обработка ПДн без средств автоматизации) – обработка ПДн, соответствующая характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяющая осуществлять в соответствии с заданным алгоритмом поиск ПДн, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПДн, и (или) доступ к таким ПДн.
1.3. Политика действует в отношении всех персональных данных, обрабатываемых Контрольно-счетной палатой с использованием средств автоматизации, а также без использования таких средств.
1.4. Во исполнение требований законодательства Российской Федерации в области персональных данных Контрольно-счетной палатой принимаются внутренние нормативные документы по вопросам обработки персональных данных, определяющие цели обработки персональных данных, а также для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, устранение последствий таких нарушений.
2. Правовые основания обработки персональных данных
2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Контрольно-счетная палата осуществляет обработку персональных данных, в том числе Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», и принимаемые в соответствии с ними внутренние нормативные документы Контрольно-счетной палаты, а также согласие субъектов персональных данных на обработку их персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных.
3. Цели обработки персональных данных
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2. Персональные данные обрабатываются в целях обеспечения возложенных на Контрольно-счетную палату функций, полномочий и обязанностей, в том числе обеспечения кадровой работы, бюджетного учета, защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных и в целях противодействия коррупции. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки, предусмотренным в разделе 3 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к целям их обработки.
4.2. Категории субъектов, персональные данные которых обрабатываются в Контрольно-счетной палате, а также категории и перечни обрабатываемых персональных данных устанавливаются правилами обработки персональных данных в Контрольно-счетной палате.
5. Основные права и обязанности оператора персональных данных
5.1. Контрольно-счетная палата, как оператор персональных данных, имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним внутренними нормативными документами Контрольно-счетной палаты, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Контрольно-счетной палаты, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Контрольно-счетная палата вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
5.2. Контрольно-счетная палата обязана:
- организовывать и осуществлять обработку персональных данных в соответствии с требованиями Федерального закона «О персональных данных»;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона «О персональных данных»;
- сообщать по запросу уполномоченного органа по защите прав субъектов персональных данных необходимую информацию;
- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
- выполнять иные обязанности, предусмотренные Федеральным законом «О персональных данных».
5.3. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных статьями 18.1, 19 Федерального закона «О персональных данных» определяются правилами обработки персональных данных в Контрольно-счетной палате.
6. Основные права субъекта персональных данных
6.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие оператора при обработке его персональных данных.
7. Порядок и условия обработки персональных данных
7.1. Контрольно-счетная палата осуществляет обработку персональных данных – действия (операции), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), включая трансграничную передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.
7.2. Обработка персональных данных в Контрольно-счетной палате осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
7.3. К обработке персональных данных допускаются сотрудники Контрольно-счетной палаты, замещающие должности, входящие в перечень должностей в Контрольно-счетной палате города Орска, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержденный распоряжением председателя.
7.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.5. Сроки хранения персональных данных на бумажном носителе определяются в соответствии с нормативными правовыми актами Российской Федерации, локальными актами Контрольно-счетной палаты и номенклатурой дел. Сроки хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствуют срокам хранения персональных данных на бумажных носителях.
7.6. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
7.8. Сотрудники Контрольно-счетной палаты, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.9. Контрольно-счетная палата обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним внутренними нормативными документами Контрольно-счетной палаты.
8. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов персональных данных
8.1. Подтверждение факта обработки персональных данных, правовые основания и цели обработки персональных данных, а также иные сведения, предусмотренные частью 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Контрольно-счетной палатой в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Контрольно-счетная палата предоставляет сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Контрольно-счетная палата осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Контрольно-счетная палата на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет (актуализирует, исправляет) персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Контрольно-счетная палата осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
8.4. Условия и сроки уничтожения персональных данных Контрольно-счетной палатой:
- достижение цели обработки персональных данных либо утрата необходимости в достижении цели обработки персональных данных – в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, – в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его 10 персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Контрольно-счетной палатой и субъектом персональных данных либо если Контрольно-счетная палата не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами, – в течение 30 дней.
9. Заключительные положения
9.1. Политика обязательна для соблюдения всеми сотрудниками Контрольно-счетной палаты.
9.2. Сотрудник Контрольно-счетной палаты, имеющий доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, несет ответственность в соответствии с законодательством Российской Федерации.
9.3. Контроль за соблюдением Политики осуществляет должностное лицо, назначенное ответственным за организацию обработки персональных данных в Контрольно-счетной палате.
9.4. Политика является общедоступной и подлежит размещению на официальном сайте Контрольно-счетной палаты в информационно-телекоммуникационной сети «Интернет».