1. Назначение политики
Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в администрации муниципального образования Красноармейский район (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
2. Основные понятия
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Правовые основания обработки персональных данных
Политика разработана в соответствии со следующими нормативно-правовыми документами Российской Федерации:
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Кодекс об Административных Правонарушениях Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Уголовный кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи» (последняя редакция)
- Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119.
Оператор осуществляет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:
- Трудовой кодекс Российской Федерации;
- Договоры, заключаемые между Оператором и субъектом персональных данных;
- Постановление Правительства РФ от 13 марта 2020 г. № 279 «Об информационном обеспечении градостроительной деятельности»;
- Согласие на обработку персональных данных;
- Иные нормативно-правовые акты в соответствии с которыми Оператор осуществляет обработку персональных данных.
4. Цели сбора персональных данных
Целями обработки персональных данных являются:
1. Ведение бухгалтерского учета;
Перечень персональных данных:
- Фамилия, имя, отчество
- Дата рождения (число, месяц и год рождения).
- Место рождения.
- Вид, серия, номер основного документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи.
- Реквизиты основного документа, удостоверяющего личность гражданина Российской Федерации, по которому гражданин Российской Федерации осуществляет выезд за пределы территории Российской Федерации и въезд на территорию Российской Федерации (серия, номер, когда и кем выдан).
- Адрес и дата регистрации по месту жительства (пребывания).
- Адрес фактического проживания (нахождения).
- Номера телефонов (домашнего, служебного, мобильного).
- Почтовый адрес и адрес электронной почты.
- Сведения о семейном положении, о составе семьи.
- Сведения, содержащиеся в свидетельствах о государственной регистрации актов гражданского состояния.
- Сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата), иные сведения, содержащиеся в документе об образовании.
- Сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения.
- Сведения о владении иностранными языками и языками народов Российской Федерации.
- Сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и другие).
- Сведения о классном чине (квалификационном разряде) государственной службы Российской Федерации, муниципальной службы, дипломатическом ранге, воинском и (или) специальном звании, классном чине юстиции, классном чине прокурорских работников (кем и когда присвоены).
- Сведения о родителях (в том числе усыновителях), детях (в том числе усыновленных и находящихся под опекой (попечительством), сестрах и братьях (полнородных и неполнородных), супругах (в том числе бывших) (степень родства, фамилия, имя, отчество (последнее - при наличии), дата рождения, место рождения, место работы (службы) и адрес регистрации по месту жительства (пребывания).
- Сведения о форме и дате оформления допуска к государственной тайне, ранее имевшегося и (или) имеющегося.
- Сведения о государственных наградах, иных наградах и знаках отличия (кем награжден(а) и когда).
- Сведения о пребывании за границей (когда, где, с какой целью).
- Сведения о родителях (в том числе усыновителях), детях (в том числе усыновленных), сестрах и братьях, (полнородных и неполнородных), а также супругах (в том числе бывших), постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (последнее - при наличии), с какого времени проживают за границей.
- Сведения, содержащиеся в страховом свидетельстве обязательного пенсионного страхования.
- Сведения, содержащиеся в свидетельстве о присвоении идентификационного номера налогоплательщика.
- Сведения, содержащиеся в страховом медицинском полисе обязательного медицинского страхования.
- Сведения, содержащиеся в документах воинского учета.
- Сведения о наличии (отсутствии) судимости, в том числе снятой или погашенной.
- Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей (в том числе усыновленных и находящихся под опекой (попечительством).
- Сведения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению.
- Сведения о наличии (отсутствии) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну.
- Сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети "Интернет", на которых государственным гражданским служащим, гражданином Российской Федерации, претендующим на замещение должности государственной гражданской службы Российской Федерации, размещались общедоступная информация, а также данные, позволяющие его идентифицировать.
- Сведения об инвалидности, сроке действия установленной инвалидности.
- Сведения, содержащиеся в уведомлении о намерении выполнять иную оплачиваемую работу.
- Иные сведения, которые субъект персональных данных пожелал сообщить о себе.
2. Исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
Перечень персональных данных:
- Фамилия, имя, отчество
- Дата рождения (число, месяц и год рождения).
- Место рождения.
- Вид, серия, номер основного документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи.
- Реквизиты основного документа, удостоверяющего личность гражданина Российской Федерации, по которому гражданин Российской Федерации осуществляет выезд за пределы территории Российской Федерации и въезд на территорию Российской Федерации (серия, номер, когда и кем выдан).
- Адрес и дата регистрации по месту жительства (пребывания).
- Адрес фактического проживания (нахождения).
- Номера телефонов (домашнего, служебного, мобильного).
- Почтовый адрес и адрес электронной почты.
- Иные сведения, которые субъект персональных данных пожелал сообщить о себе.
3. Исполнение обязанностей юридического лица как работодателя;
Перечень персональных данных:
- Фамилия, имя, отчество
- Дата рождения (число, месяц и год рождения).
- Место рождения.
- Вид, серия, номер основного документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи.
- Реквизиты основного документа, удостоверяющего личность гражданина Российской Федерации, по которому гражданин Российской Федерации осуществляет выезд за пределы территории Российской Федерации и въезд на территорию Российской Федерации (серия, номер, когда и кем выдан).
- Адрес и дата регистрации по месту жительства (пребывания).
- Адрес фактического проживания (нахождения).
- Номера телефонов (домашнего, служебного, мобильного).
- Почтовый адрес и адрес электронной почты.
- Сведения о семейном положении, о составе семьи.
- Сведения, содержащиеся в свидетельствах о государственной регистрации актов гражданского состояния.
- Сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата), иные сведения, содержащиеся в документе об образовании.
- Сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения.
- Сведения о владении иностранными языками и языками народов Российской Федерации.
- Сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и другие).
- Сведения о классном чине (квалификационном разряде) государственной службы Российской Федерации, муниципальной службы, дипломатическом ранге, воинском и (или) специальном звании, классном чине юстиции, классном чине прокурорских работников (кем и когда присвоены).
- Сведения о родителях (в том числе усыновителях), детях (в том числе усыновленных и находящихся под опекой (попечительством), сестрах и братьях (полнородных и неполнородных), супругах (в том числе бывших) (степень родства, фамилия, имя, отчество (последнее - при наличии), дата рождения, место рождения, место работы (службы) и адрес регистрации по месту жительства (пребывания).
- Сведения о форме и дате оформления допуска к государственной тайне, ранее имевшегося и (или) имеющегося.
- Сведения о государственных наградах, иных наградах и знаках отличия (кем награжден(а) и когда).
- Сведения о пребывании за границей (когда, где, с какой целью).
- Сведения о родителях (в том числе усыновителях), детях (в том числе усыновленных), сестрах и братьях, (полнородных и неполнородных), а также супругах (в том числе бывших), постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (последнее - при наличии), с какого времени проживают за границей.
- Сведения, содержащиеся в страховом свидетельстве обязательного пенсионного страхования.
- Сведения, содержащиеся в свидетельстве о присвоении идентификационного номера налогоплательщика.
- Сведения, содержащиеся в страховом медицинском полисе обязательного медицинского страхования.
- Сведения, содержащиеся в документах воинского учета.
- Сведения о наличии (отсутствии) судимости, в том числе снятой или погашенной.
- Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей (в том числе усыновленных и находящихся под опекой (попечительством).
- Сведения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению.
- Сведения о наличии (отсутствии) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну.
- Сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети "Интернет", на которых государственным гражданским служащим, гражданином Российской Федерации, претендующим на замещение должности государственной гражданской службы Российской Федерации, размещались общедоступная информация, а также данные, позволяющие его идентифицировать.
- Сведения об инвалидности, сроке действия установленной инвалидности.
- Сведения, содержащиеся в уведомлении о намерении выполнять иную оплачиваемую работу.
- Иные сведения, которые субъект персональных данных пожелал сообщить о себе.
4. Обеспечение градостроительной деятельности;
Перечень персональных данных:
- Фамилия, имя, отчество
- Дата рождения (число, месяц и год рождения).
- Место рождения.
- Вид, серия, номер основного документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи.
- Реквизиты основного документа, удостоверяющего личность гражданина Российской Федерации, по которому гражданин Российской Федерации осуществляет выезд за пределы территории Российской Федерации и въезд на территорию Российской Федерации (серия, номер, когда и кем выдан).
- Адрес и дата регистрации по месту жительства (пребывания).
- Адрес фактического проживания (нахождения).
- Номера телефонов (домашнего, служебного, мобильного).
- Почтовый адрес и адрес электронной почты.
- Иные сведения, которые субъект персональных данных пожелал сообщить о себе.
5. Иные цели обработки персональных данных в рамках разрешенной деятельности Оператора.
Перечень персональных данных:
- Фамилия, имя, отчество
- Дата рождения (число, месяц и год рождения).
- Место рождения.
- Вид, серия, номер основного документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи.
- Реквизиты основного документа, удостоверяющего личность гражданина Российской Федерации, по которому гражданин Российской Федерации осуществляет выезд за пределы территории Российской Федерации и въезд на территорию Российской Федерации (серия, номер, когда и кем выдан).
- Адрес и дата регистрации по месту жительства (пребывания).
- Адрес фактического проживания (нахождения).
- Номера телефонов (домашнего, служебного, мобильного).
- Почтовый адрес и адрес электронной почты.
- Иные сведения, которые субъект персональных данных пожелал сообщить о себе.
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Категории и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Оператор осуществляет обработку персональных данных следующих физических лиц (субъектов ПДн):
- сотрудники;
- уволенные (уволившиеся) сотрудники;
- близкие родственники сотрудников;
- близкие родственники уволенных (уволившихся) сотрудников;
- контрагенты;
- застройщики;
- посетители сайта;
- иные субъекты персональных данных.
6. Порядок и условия обработки персональных данных
Все персональные данные субъектов Оператора получает от них самих, либо от их законных представителей.
Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект ПДн принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Получение ПДн субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
Оператором применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.
ПДн субъектов Оператора обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.
Доступ к ПДн, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с утвержденным списком.
Доступ к ПДн, обрабатываемым в информационных системах персональных данных (далее - ИСПДн), осуществляется в соответствии со списком, утверждённым в порядке, определяемом Оператором.
Уполномоченные лица, допущенные к ПДн субъектов Оператора, имеют право получать только те ПДн субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.
Обработка ПДн, осуществляемая без использования средств автоматизации, выполняется в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Персональные данные при такой их обработке, обособляются от иной информации, в частности, путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
ПДн подлежат уничтожению либо обезличиванию в следующих случаях:
- достигнуты цели обработки или утрачена необходимость в их достижении;
- получен отзыв согласия субъекта ПДн на обработку ПДн;
- представление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявление неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн.
Хранение материальных носителей ПДн осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются приказом об утверждении мест хранения материальных носителей ПДн Оператора.
В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.
Уничтожение ПДн осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки ПДн, если иное не предусмотрено федеральными законами Российской Федерации.
Уничтожение ПДн осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта ПДн на обработку ПДн.
Уничтожение ПДн осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн уничтожение ПДн осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки ПДн. Решение о неправомерности обработки ПДн и необходимости уничтожения персональных данных принимает ответственный за организацию обработки ПДн, который доводит соответствующую информацию до руководства. Оператор уведомляет субъекта ПДн или его законного представителя об уничтожении персональных данных.
Уничтожение ПДн осуществляет комиссия в составе сотрудников структурного подразделения, обрабатывавшего ПДн субъекта и установившего необходимость уничтожения ПДн под контролем руководителя этого структурного подразделения.
Способ уничтожения материальных носителей ПДн определяется комиссией. Допускается применение следующих способов:
- сжигание;
- шредирование (измельчение);
- передача на специализированные полигоны (свалки);
- химическая обработка.
При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных.
При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае члены комиссии по уничтожению ПДн должны присутствовать при уничтожении материальных носителей ПДн. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей ПДн подлежащих уничтожению, в специализированную организацию.
Уничтожение полей баз данных Оператора, содержащих ПДн субъекта, выполняется в следующих случаях:
- достигнуты цели обработки или утрачена необходимость в их достижении;
- получен отзыв согласия субъекта ПДн на обработку ПДн;
- представление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявление неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн.
Уничтожение осуществляет комиссия, в состав которой входит ответственный за организацию обработки ПДн.
Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый ответственным за организацию обработки ПДн.
Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.
При отсутствии технической возможности осуществить уничтожение ПДн, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта ПДн была не возможна.
Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн.
Защиту ПДн субъектов от неправомерного их использования или утраты Оператор обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.
Обеспечение безопасности персональных данных Оператором достигается, в частности следующими мерами:
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Оператора по вопросам обработки персональных данных;
- ознакомление сотрудников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
- издание политики Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
- учет машинных носителей персональных данных;
- назначение Ответственного за организацию обработки персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
Оператор оставляет за собой право проверить полноту и точность предоставленных персональных данных при наличии согласия субъекта персональных данных. В случае выявления ошибочных или неполных персональных данных Оператор имеет право прекратить все отношения с субъектом персональных данных
Базы персональных данных Оператора находятся полностью в пределах территории Российской Федерации.
7. Регламент реагирования на запросы обращения субъектов персональных данных и их представителей
При обращении, запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ.
Субъект или его законный представитель может воспользоваться формами запросов, указанными в приложениях 1-3 к данной Политике.
Доступ субъекта персональных данных или его законного представителя к своим персональным данным Оператор предоставляет только под контролем ответственного за организацию обработки персональных данных Оператора.
Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
Запрос в письменной или электронной форме субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.
Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
Сведения о наличии персональных данных Оператор предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.
8. Регламент реагирования на запросы обращения уполномоченных органов
В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением сотрудников Оператора.
В течение установленного срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.