Интервал между буквами и строками: Стандартный Средний Большой

Свернуть настройки Шрифт: Arial Times New Roman

Утверждено

приказом начальника Главного управления

специальных мероприятий Тюменской области от 01.08.2014 №29-ос

ПОЛОЖЕНИЕ
об обработке и защите персональных данных
в Главном управлении специальных мероприятий Тюменской области

Введение

1. Настоящий документ (далее ? Положение) определяет высокоуровневую политику в отношении обработки в Главном управлении специальных мероприятий Тюменской области (далее – ГУСМ ТО) персональных данных субъектов и содержит сведения о реализуемых требованиях к защите персональных данных в ГУСМ ТО.

2. Настоящее Положение разработано на основе действующих правовых и нормативных документов по защите конфиденциальной информации и персональных данных.

3. Под персональными данными в настоящем Положении понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

  1. Общие положения

  1. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.
  2. ГУСМ ТО, в рамках выполнения своей деятельности, осуществляет обработку персональных данных и, в соответствии с действующим законодательством Российской Федерации, является оператором персональных данных с соответствующими правами и обязанностями, определенными Федеральным законом № 152 от 27.07.2006 «О персональных данных» и иными нормативными правовыми актами Российской Федерации. Состав обрабатываемых данных, категории субъектов, чьи персональные данные обрабатываются в ГУСМ ТО, цели и правовые основания их обработки определены для каждой информационной системы.

2. Правила обработки персональных данных.

2.1. Обработка персональных данных осуществляется в ГУСМ ТО только в случаях:

  • наличия согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ;
  • наличия Соглашения по которому ГУСМ ТО обязуется осуществлять обработку персональных данных субъектов по поручению оператора;
  • необходимости достижения целей, предусмотренных нормативно-правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на ГУСМ ТО функций, полномочий и обязанностей;
  • необходимости осуществления прав и законных интересов ГУСМ ТО или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • в случае если персональные данные являются общедоступными;
  • обязательного раскрытия и подлежащих к опубликованию персональных данных в соответствии с законодательством РФ;
  • организации пропускного режима на территории ГУСМ ТО.

2.2. Согласно требованиям Федерального закона № 152 от 27.07.2006  «О персональных данных» ГУСМ ТО в установленном порядке должно пройти процедуру регистрации как оператор персональных данных, в открытом и общедоступном реестре операторов персональных данных, размещенном на официальном сайте Роскомнадзора как уполномоченного органа по защите прав и свобод субъектов персональных данных.

2.3. ГУСМ ТО обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ или договором с субъектом.

2.4. Получение персональных данных:

  • все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку оператором.

Заявление-согласие субъекта на обработку персональных данных оформляется по форме согласно приложению №1 к настоящему Положению.

  • В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.

Заявление-согласие на обработку персональных данных подопечного оформляется по форме согласно приложению№2 к настоящему Положению.

  • Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
  • Согласие на обработку персональных данных может быть отозвано субъектом или его законным представителем, в соответствии действующим законодательством.

Отзыв согласия на обработку персональных данных оформляется согласно приложению № 3 к настоящему Положению.

  • В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у оператора.

 Заявление-согласие субъекта на получение его персональных данных от третьей стороны оформляется по форме согласно приложению № 4 к настоящему Положению.

2.5. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

2.6. Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

2.7. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

2.8. Хранение персональных данных:

  • Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
  • Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.9. Передача персональных данных:

2.9.1. При передаче персональных данных оператор обязан соблюдать следующие требования:

  • не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.

Заявление-согласие субъекта на передачу его персональных данных третьей стороне оформляется по форме согласно приложению № 5 к настоящему Положению.

  • предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им служебной (трудовой) функции;
  • все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.
  • Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3. Права и обязанности субъектов персональных данных

и оператора

3.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные действующим законодательством Российской Федерации.

3.2. Права субъектов персональных данных:

3.2.1. Субъект персональных данных имеет право на получение сведений, указанных в пункте 3.2.6., за исключением случаев, предусмотренных законодательством РФ. Субъект персональных данных вправе запрашивать у представителей ГУСМ ТО уточнения его персональных данных, информацию об их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.2.2. Сведения, указанные в пункте 3.2.6, предоставляются представителями ГУСМ ТО субъекту персональных данных в доступной форме.

3.2.3. Сведения, указанные в пункте 3.2.6, предоставляются субъекту персональных данных или его представителю представителями ГУСМ ТО при получении запроса субъекта персональных данных или его представителя в письменной форме.

3.2.4. В случае, если сведения, в пункте 3.2.6, уже были предоставлены для ознакомления субъекту персональных данных по его запросу, то субъект персональных данных вправе обратиться повторно к представителям ГУСМ ТО в целях получения сведений, в пункте 3.2.6, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

3.2.5. Субъект персональных данных вправе обратиться повторно к представителю ГУСМ ТО в целях получения сведений, указанных в пункте 3.2.6, до истечения срока, указанного в пункте 3.2.4, в случае, если такие сведения не были предоставлены в полном объеме по результатам первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

3.2.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных ГУСМ ТО;
  • правовое основание и цели обработки персональных данных;
  • применяемые ГУСМ ТО способы обработки персональных данных;
  • наименование и место нахождения ГУСМ ТО, сведения о лицах (за исключением сотрудников ГУСМ ТО), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ГУСМ ТО или на основании законодательства РФ;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ;
  • информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
  • фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ГУСМ ТО Субъект персональных данных вправе запрашивать у представителей ГУСМ ТО уточнения его персональных данных, информацию о их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4. Меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ

4.1. ГУСМ ТО осуществляет следующие организационные и технические меры для защиты персональных данных:

4.1.1. назначение лица, ответственного за организацию обработки персональных данных;

4.1.2. утверждение документов, определяющих политику ГУСМ ТО в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

4.1.3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ «О персональных данных», включая:

  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных ГУСМ ТО;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГУСМ ТО, необходимых для выполнения требований к защите персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных ГУСМ ТО;
  • учет машинных носителей персональных данных;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятыми в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политики ГУСМ ТО в отношении обработки персональных данных, локальным актам ГУСМ ТО;
  • ознакомление сотрудников ГУСМ ТО, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику ГУСМ ТО в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
  • доступ к содержанию электронного журнала сообщений возможен исключительно для администратора информационной безопасности или структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационных системах ГУСМ ТО.

5. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

5.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

 

Приложение №1 к Положению

 Начальнику Главного управления

специальных мероприятий

 Тюменской область

___________________

(фамилия, инициалы)

Заявление-согласие субъекта на обработку его персональных данных

Я, _____________________________________________________________________, проживающий(-ая) по адресу ______________________________________________________________________ паспорт серии ________, номер ______________, выданный                                                                     
                                                                                                                                                           

« ___ » ___________ _____ года, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие Главному управлению специальных мероприятий Тюменской области, расположенному по адресу г. Тюмень ул. Республики 52, на обработку моих персональных данных, а именно:

                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

Обработка вышеуказанных персональных данных будет осуществляться путем: 

                                                                                                                                                           
 (Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных)

Для обработки в целях:

                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

Я утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение ______________________. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

                                       20    г.                                                                                             

(подпись)

 

Приложение №2 к Положению

Начальнику Главного управления

специальных мероприятий

 Тюменской область

___________________

(фамилия, инициалы)

Заявление-согласие субъекта на обработку
персональных данных подопечного

Я, ___________________________________________________________, проживающий(-ая) по адресу ______________________________________________________________________ паспорт серии ________, номер ______________, выданный                                         
                                                                                                                                                           
« ___ » ___________ _____ года, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие Главному управлению специальных мероприятий Тюменской области, расположенному по адресу г. Тюмень ул. Республики 52, на обработку персональных данных моего/ей сына (дочери, подопечного):

                                                                                                                                                           

(Ф.И.О. сына, дочери, подопечного)

а именно:

                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

Обработка вышеуказанных персональных данных будет осуществляться путем: 

                                                                                                                                                           
 (Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных)

Для обработки в целях:

                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

Я утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение ______________________. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

                                       20    г.                                                                                             

(подпись)

Приложение №3 к Положению

Начальнику Главного управления

специальных мероприятий

 Тюменской область

___________________

(фамилия, инициалы

                                                                             

Ф.И.О. субъекта персональных данных

                                                                             

адрес регистрации субъекта персональных данных

                                                                             

наименование, серия и номер основного документа, удостоверяющего личность

                                                                             

дата выдачи указанного документа

                                                                             

наименование органа выдавшего документ

Отзыв согласия на обработку персональных данных

Прошу Вас прекратить обработку моих персональных данных в связи с               
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

(указать причину)

                                       20    г.                                                                                             

(подпись)

 

Приложение №4 к Положению

Начальнику Главного управления

специальных мероприятий

 Тюменской область

___________________

(фамилия, инициалы

Заявление-согласие
субъекта на получение его персональных данных у третьей стороны

Я, _________________________________________________________, проживающий (-ая) по адресу _____________________________________________________________________ паспорт серии ________, номер ______________, выданный                                         
                                                                                                                                                           
« ___ » ___________ _____ года, в соответствии со ст.86 Трудового Кодекса Российской Федерации _______________(согласен/не согласен)   на получение моих персональных данных Главным управлением специальных мероприятий Тюменской области, расположенным по адресу г. Тюмень ул. Республики 52,

                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

Обработка вышеуказанных персональных данных будет осуществляться путем: __

                                                                                                                                                           
 (Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных)

Для обработки в целях:

                                                                                                                                                                    
                                                                                                                                                           

у следующих лиц:

                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

(указать Ф.И.О. физического лица или наименование организации и адрес, предоставляющее данные)

Я также утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение ______________________. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

                                       20    г.                                                                                             

(подпись)

 

Приложение №5 к Положению

Начальнику Главного управления

специальных мероприятий

 Тюменской область

___________________

(фамилия, инициалы

Заявление-согласие
субъекта на передачу его персональных данных третьей стороне

Я, _________________________________________________________, проживающий(-ая) по адресу ____________________________________________________________________, паспорт серии ________, номер ______________, выданный                                                         
                                                                                                                                                           
« ___ » ___________ _____ года, в соответствии со ст.86 Трудового Кодекса Российской Федерации _______________ (согласен/не согласен)на передачу моих персональных данных Главному управлению специальных мероприятий Тюменской области, расположенному по адресу г. Тюмень ул. Республики 52, а именно:

                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

Обработка вышеуказанных персональных данных будет осуществляться путем: __

                                                                                                                                                           
 (Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных)

для обработки в целях:

                                                                                                                                                           
                                                                                                                                                           
                                                                                                                                                           

следующим лицам:

                                                                                                                                                           
                                                                                                                                                           

(указать Ф.И.О. физического лица или наименование организации и адрес, которым сообщаются данные)

Я также утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение ______________________. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

                                       20    г.                                                                                             

(подпись)


Создано: 11.01.2012
Дата обновления: 04.09.2015
Источник: Главное управление специальных мероприятий Тюменской области