Add to collection(s) Add to saved
  1. No category

Центр информационного

advertisement 
Приложение к приказу
от _____________ № _____
Политика обработки и защиты персональных данных в
Санкт-Петербургском государственном казенном учреждении «Центр
информационного обеспечения градостроительной деятельности»
1. Общие положения
1.1. Настоящая
Политика
обработки
персональных
данных
(далее - Политика) в Санкт-Петербургском государственном казенном
учреждении «Центр информационного обеспечения градостроительной
деятельности» (далее – СПб ГКУ ЦИОГД) разработана в соответствии с
требованиями нормативно-правовых актов Российской Федерации,
регулирующих отношения, связанные с обработкой персональных данных
(далее - ПДн).
1.2. Политика определяет принципы обработки и защиты ПДн физических
лиц (далее – Субъекты ПДн) реализуемые в СПб ГКУ ЦИОГД (далее –
Оператор ПДн).
1.3. Действие настоящей Политики распространяется на все процессы по
сбору, записи, систематизации, накоплению, хранению, уточнению,
извлечению, использованию, передаче (распространению, предоставлению,
доступу), обезличиванию, блокированию, удалению, уничтожению ПДн,
осуществляемых как с использованием средств автоматизации, так и без
использования таких средств.
1.4. В дополнение к настоящей Политике разработаны другие внутренние
нормативные документы, регламентирующие отдельные процессы
управления ПДн.
2. Нормативная документация
2.1. При подготовке Политики использовались положения и требования
следующих нормативно-правовых документов:
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
- Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ
«О персональных данных»;
- Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об
утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15.09.2008 г.
№ 687 «Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации»;
- Постановление Правительства Российской Федерации от 01.11.2011
№ 1119 «Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 21.03.2012 № 211 «Об
утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных
данных» и принятыми в соответствии с ним нормативными правовыми
актами, операторами, являющимися государственными или муниципальными
органами».
3. Обработка ПДн
3.1. Принципы обработки персональных данных.
3.1.1. Обработка ПДн осуществляется на основе следующих принципов:
- осуществляется на законной и справедливой основе;
- ограничивается достижением конкретных, заранее определенных и
законных целей. Не допускается обработка ПДн, несовместимая с целями
сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн,
обработка которых осуществляется в целях, несовместных между собой;
- обработке подлежат только те ПДн, которые отвечают целям их
обработки;
- содержание и объем обрабатываемых ПДн соответствуют
заявленным целям обработки. Обрабатываемые ПДн не являются
избыточными по отношению к заявленным целям обработки;
- при обработке ПДн обеспечивается точность ПДн, их достаточность,
а в необходимых случаях и актуальность по отношению к заявленным целям
их обработки;
- автоматизированная
обработка
ПДн
осуществляется
в
аттестованных
по
требованиям
безопасности
информации
автоматизированных системах.
3.2. Сбор персональных данных.
3.2.1. Сбор, накопление, хранение, изменение, использование и передача
ПДн осуществляется при условии наличия согласия Субъекта ПДн.
Исключение составляют случаи, когда в соответствии с действующим
законодательством допускается обработка ПДн без получения согласия
Субъекта ПДн, а именно:
- обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации или
законом, для осуществления и выполнения возложенных законодательством
Российской Федерации на Оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления
правосудия, исполнения судебного акта, акта другого органа или
должностного лица, подлежащих исполнению в соответствии с
законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения
полномочий федеральных органов исполнительной власти, органов
государственных внебюджетных фондов, исполнительных органов
государственной власти субъектов Российской Федерации, органов местного
самоуправления и функций организаций, участвующих в предоставлении
соответственно государственных и муниципальных услуг, предусмотренных
Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации
предоставления государственных и муниципальных услуг", включая
регистрацию субъекта персональных данных на едином портале
государственных и муниципальных услуг и (или) региональных порталах
государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения
договора, стороной которого либо выгодоприобретателем или поручителем
по которому является субъект персональных данных, а также для заключения
договора по инициативе субъекта персональных данных или договора, по
которому
субъект
персональных
данных
будет
являться
выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни,
здоровья или иных жизненно важных интересов субъекта персональных
данных, если получение согласия субъекта персональных данных
невозможно;
- обработка персональных данных необходима для осуществления
прав и законных интересов оператора или третьих лиц либо для достижения
общественно значимых целей при условии, что при этом не нарушаются
права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления
профессиональной деятельности журналиста и (или) законной деятельности
средства массовой информации либо научной, литературной или иной
творческой деятельности при условии, что при этом не нарушаются права и
законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических
или иных исследовательских целях при условии обязательного
обезличивания персональных данных;
- осуществляется
обработка
персональных
данных,
доступ
неограниченного круга лиц к которым предоставлен субъектом
персональных данных либо по его просьбе (далее - персональные данные,
сделанные общедоступными субъектом персональных данных);
- осуществляется обработка персональных данных, подлежащих
опубликованию или обязательному раскрытию в соответствии с
федеральным законом.
3.3. Хранение персональных данных.
3.3.1. Хранение ПДн осуществляется в форме, позволяющей определить
Субъекта ПДн не дольше, чем этого требуют соответствующие цели
обработки ПДн. Обрабатываемые ПДн подлежат уничтожению либо
обезличиванию по достижении целей обработки, или в случае утраты
необходимости в достижении этих целей.
3.3.2. Получение, дальнейшая обработка и передача ПДн может
осуществляться как с применением бумажных носителей, так и в
электронном виде.
3.3.3. ПДн на бумажных носителях хранятся в запираемых шкафах или
сейфах.
3.3.4. ПДн Субъектов в электронном виде обрабатываются в защищенных
автоматизированных системах Оператора.
3.4. Передача персональных данных третьим лицам.
3.4.1. Оператор вправе поручить обработку ПДн другому лицу с согласия
субъекта ПДн, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора. При этом Оператор в
договоре обязует лицо, осуществляющее обработку ПДн по поручению
Оператора,
соблюдать
принципы
и
правила
обработки
ПДн,
предусмотренные федеральным законом №152-ФЗ «О персональных
данных».
3.4.2. В случае если Оператор поручает обработку ПДн другому лицу,
ответственность перед Субъектом ПДн за действия указанного лица несет
Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора,
несет ответственность перед Оператором.
3.4.3. Оператор обязуется и обязует иные лица, получившие доступ к ПДн,
не раскрывать третьим лицам и не распространять ПДн без согласия
Субъекта ПДн, если иное не предусмотрено законом.
3.5. Трансграничная передача персональных данных не производится.
3.6. Уничтожение персональных данных.
3.6.1. Уничтожение персональных данных производится в случае:
- достижения цели обработки ПДн Оператор прекращает обработку
ПДн, если иное не предусмотрено соглашением между Оператором и
Субъектом персональных данных или действующим законодательством;
- отзыва Субъектом ПДн согласия на обработку своих ПДн Оператор
прекращает их обработку, если иное не предусмотрено соглашением между
Оператором и Субъектом ПДн или действующим законодательством;
- выявления
неправомерной
обработки
ПДн
Оператор
предпринимает меры по уничтожению этих ПДн в срок, не превышающий
семи рабочих дней со дня выявления неправомерной обработки ПДн;
- отсутствия возможности уничтожения ПДн в течение указанного
срока, Оператор осуществляет блокирование таких ПДн и обеспечивает
уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления
неправомерной обработки ПДн, если иной срок не установлен федеральным
законодательством;
- если уничтожение ПДн было произведено по результатам
обработки обращения Субъекта ПДн и (или) представителя, о предпринятых
действиях Оператор уведомляет субъекта ПДн и (или) уполномоченный
орган по защите прав субъектов ПДн.
3.6.2. ПДн на бумажных носителях уничтожаются с помощью средств,
гарантирующих невозможность восстановления носителя и данных или
посредством вычеркивания, затирания (вымарывания и т.п.) ПДн.
3.6.3. Уничтожение информации с машиночитаемых носителей ПДн,
пришедших в негодность или утративших практическую ценность,
производится способом, исключающим возможность использования и
восстановления информации.
3.7.Защита персональных данных.
3.7.1. При обработке ПДн Оператор принимает необходимые правовые,
организационные и технические меры для защиты ПДн от неправомерного
или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, предоставления, распространения ПДн, а также от иных
неправомерных действий в отношении ПДн.
3.7.2. Обеспечение безопасности ПДн достигается:
- определением угроз безопасности ПДн при их обработке в
информационных системах персональных данных (далее - ИСПДн);
- применением организационных и технических мер необходимых
для выполнения требований по защите ПДн, исполнение которых
обеспечивает установленные Правительством Российской Федерации уровни
защищенности ПДн;
- оценкой эффективности принимаемых мер по обеспечению
безопасности ПДн до ввода в эксплуатацию и периодически в процессе
эксплуатации ИСПДн;
- обнаружением фактов несанкционированного доступа к ПДн и
принятием необходимых мер;
- установлением правил доступа к ПДн, обрабатываемых в ИСПДн, а
также обеспечением регистрации доступа к ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности
ПДн и уровня защищенности ИСПДн.
4. Доступ к ПДн
4.1. Общие положения.
4.1.1. Оператор обеспечивает конфиденциальность ПДн, то есть не
допускает их распространения без согласия Субъекта ПДн или наличия
иного законного основания.
4.2. Внутренний доступ сотрудников к ПДн.
4.2.1. В рамках данной Политики под внутренним доступом понимается
доступ к ПДн, предоставляемый сотрудникам Оператора.
4.2.2. Доступ к ПДн предоставляется только тем сотрудникам Оператора,
которым ПДн необходимы для исполнения их непосредственных
должностных обязанностей.
4.2.3. Допуск сотрудников Оператора к обработке ПДн осуществляется на
основании утвержденного Перечня лиц, допущенных к обработке
персональных данных. Сотрудник Оператора допускается к обработке ПДн
только в том случае, если занимаемая им должность указана в Перечне
должностей Оператора, замещение которых предусматривает осуществление
обработки персональных данных либо осуществление доступа к
персональным данным и только в рамках тех задач, которые он обязан
осуществлять для выполнения своих служебных обязанностей.
4.2.4. Сотрудник Оператора допускается к обработке ПДн только после
ознакомления с внутренними нормативными документами Оператора,
регламентирующими обработку ПДн, и при наличии в его трудовом договоре
или должностном регламенте соответствующих положений о работе с ПДн.
4.3. Доступ Субъектов персональных данных к своим ПДн
4.3.1. Оператор обеспечивает доступ Субъектов ПДн к принадлежащим им
ПДн. Для получения такого доступа Субъекту ПДн необходимо направить
Оператору запрос по форме, приведенной в Приложении 1. В случае
направления запроса в электронной форме, необходимо его подписание
усиленной квалифицированной электронной подписью.
4.3.2. Оператор осуществляет предоставление ПДн обратившегося
Субъекта в доступной для Субъекта форме, и с обеспечением отсутствия в
них ПДн, относящихся к другим Субъектам.
4.3.3. В соответствии с законом №152-ФЗ «О персональных данных»
Субъект ПДн имеет право:
1) получить сведения касающиеся обработки ПДн Оператором, а
именно:
- подтверждение факта обработки ПДн Оператором;
- правовые основания и цели обработки ПДн;
- цели и, применяемые Оператором, способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за
исключением работников Оператора), которые имеют доступ к ПДн;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту
ПДн, источник их получения, если иной порядок представления таких
данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- информацию
об
осуществленной
или
предполагаемой
трансграничной передаче ПДн;
- наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку ПДн по поручению оператора, если обработка
поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законом «О персональных
данных».
2) потребовать от Оператора уточнения его ПДн, их блокирования
или уничтожения в случае, если ПДн являются неполными, устаревшими,
неточными, незаконно полученными или не являются необходимыми для
заявленной цели обработки;
3) заявить возражение против принятия в отношении себя решений,
порождающих юридические последствия на основе исключительно
автоматизированной обработки ПДн;
4) отозвать согласие на обработку ПДн в предусмотренных законом
случаях.
4.3.4. Право Субъекта ПДн на доступ к своим данным ограничивается в
случае, если предоставление ПДн нарушает права и законные интересы
других лиц.
5. Ответственность
5.1.Оператор несет ответственность за организацию защиты прав
субъектов ПДн в соответствии с требованиями законодательства РФ.
5.2.Оператор назначает ответственного за организацию обработки ПДн и
ответственного за обеспечение безопасности ПДн.
5.3.Ответственный за организацию обработки ПДн осуществляет:
- надлежащий контроль за соблюдением организацией и ее
работниками требований законодательства Российской Федерации о ПДн, в
том числе требований к защите ПДн;
- организацию работ по подготовке внутренних документов по
обработке ПДн и вынесение их на согласование и утверждение;
- координацию работ по обеспечению соответствия действий
сотрудников Оператора и внутренних нормативных документов Оператора
требованиям законодательства РФ в области защиты ПДн;
- доведение до сведения работников положений законодательства
Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн,
требований к защите ПДн;
- контроль за приемом и обработкой обращений и запросов субъектов
ПДн или их представителей, а также уполномоченного органа по защите
ПДн.
5.4.Ответственный за обеспечение безопасности ПДн осуществляет:
- организацию работ Оператора по созданию системы защиты ИСПДн
соответствующей требованиям законодательства РФ;
- поддержание нормативной документации, содержащей описание
процедур и технических средств обеспечения информационной
безопасности, в актуальном состоянии;
- контроль
предоставления
доступа
сотрудников
к
ПДн,
обрабатывающихся Оператором;
- приостановление возможности доступа сотрудников Оператора к
ПДн в случае нарушения ими требований внутренних нормативных
документов в области защиты ПДн.
5.5.Руководители
структурных
подразделений,
предоставляющих
(согласующих) доступ сотрудников к ПДн, несут персональную
ответственность за обоснованность данного доступа.
5.6.К сотрудникам Оператора, не исполняющим по своей вине
возложенных на них обязанностей по соблюдению порядка работы с ПДн,
могут применяться дисциплинарные взыскания в соответствии с Трудовым
Кодексом.
5.7.Сотрудники Оператора, виновные в нарушении норм, регулирующих
получение, обработку и защиту ПДн, несут дисциплинарную,
административную,
гражданско-правовую,
уголовную
и
иную
ответственность в соответствии с законодательством РФ.
Приложение №1
Форма запроса субъекта ПДн
В Санкт-Петербургское казенное учреждение «Центр информационного обеспечения градостроительной
деятельности», далее Оператор. Адрес Оператора: 191023, Санкт-Петербург, ул. Зодчего Росси, д. 1-3,
литера А.
Запрос на предоставление информации об обработке персональных данных
От __________________________________________________________________________________________
(фамилия, имя, отчество)
Паспорт _______________________ выданный ____________________________________________________
(серия, номер)
(дата выдачи)
_____________________________________________________________________________________________
(место выдачи паспорта)
адрес:________________________________________________________________________________________
(адрес места жительства)
Основания, по которым лицо выступает в качестве законного представителя субъекта персональных
данных:
_____________________________________________________________________________________________
Сведения, подтверждающие факт обработки персональных данных Оператором:
_____________________________________________________________________________________________
_____________________________________________________________________________________________
В соответствии со ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»
прошу предоставить следующую информацию, касающуюся обработки моих персональных данных:
оператора, сведения о лицах (за исключением работников оператора),
которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные
данные на основании договора или на основании федерального закона;
батываемые персональные данные, источник их получения;
данных;
, имя, отчество и адрес лица, осуществляющего обработку моих
персональных данных, если обработка поручена или будет поручена такому лицу
___________________________________________________________________________________________.
(иные сведения)
Данный запрос является первичным / повторным, на основании того, что:
_____________________________________________________________________________________________
(ОБЯЗАТЕЛЬНО: указать причину направления повторного запроса)
Указанные сведения прошу предоставить по адресу:
_____________________________________________________________________________________________
_____________________________________________________________________________________________
___________________________
(дата)
_______________________________
(подпись)
Related documents
Организационно-правовое обеспечение защиты персональных
Организационно-правовое обеспечение защиты персональных
Завершён пилотный проект по защите - Элвис-Плюс
Завершён пилотный проект по защите - Элвис-Плюс
Заявление на получение страховой выплаты страхование
Заявление на получение страховой выплаты страхование
Правовые аспекты использования несертифицированных
Правовые аспекты использования несертифицированных
Download
advertisement