Декабрь
06.12.2015
Приказом Департамента лесного хозяйства по Сибирскому федеральному округу утверждена политика в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных Департамента лесного хозяйства по Сибирскому федерал

В рубриках: Информация

 1. Общие положения   1.1.Настоящая Политика обработки персональных данных и сведений о реализуемых требованиях к защите персональных данных (далее – Политика) Департамента лесного хозяйства по Сибирскому федеральному округу  (далее – Оператор) разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных (далее – ПДн) субъектов ПДн. 1.2.Настоящая Политика определяет основные понятия, принципы, условия, цели, сроки обработки ПДн,  меры в области обработки и защиты ПДн, права субъектов ПДн. 1.3.Операторы и иные лица, получившие доступ к ПДн, обязаны  не раскрывать третьим лицам и не распространять  ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.   2. Основные понятия.   Для целей настоящей Политики используются следующие  понятия: 2.1.Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку  ПДН, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. 2.2.Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту  ПДн). 2.3.Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. 2.4.Автоматизированная обработка ПДн — обработка персональных данных с помощью средств вычислительной техники. 2.5.Неавтоматизированная обработка ПДн — обработка  ПДн, содержащихся в информационной системе  ПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека. 2.6.Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц. 2.7.Предоставление ПДн — действия, направленные на раскрытие  ПДн определенному лицу или определенному кругу лиц. 2.8.Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн). 2.9.Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн. 2.10.Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность конкретному субъекту ПДн. 2.11.Информационная система  ПДн — совокупность содержащихся в базах данных  ПДн и обеспечивающих их обработку информационных технологий и технических средств. 2.12.Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.     3. Цели, принципы и условия обработки ПДн     3.1.Целью обработки ПДн федеральных государственных гражданских служащих (далее — гражданские служащие),  работников Оператора,  граждан, претендующих на замещение вакантных должностей гражданской службы, иных субъектов ПДн, является исполнение положений законодательства Российской Федерации в области обработки ПДн при  осуществлении  функций и полномочий  Оператора.    3.2.Принципы обработки ПДн: -обработка  ПДн должна осуществляться на законной и справедливой основе; -обработка  ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей;   -не допускается объединение баз данных, содержащих  ПДН, обработка которых осуществляется в целях, несовместимых между собой; -обработке подлежат только ПДн, которые отвечают целям их обработки; -содержание и объем обрабатываемых  ПДн должны соответствовать заявленным целям обработки; -при обработке  ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;   -хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; -обрабатываемые  ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 3.3.Условия обработки  ПДн:   Обработка  ПДн осуществляется на основании условий, определенных законодательством Российской Федерации в области обработки ПДн: -обработка  ПДн осуществляется с согласия субъекта  ПДн на обработку его ПДн. 3.4.Обработка ПДн при отсутствия согласия субъекта ПДн на обработку ПДн допускается в следующих случаях: -необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей; -необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; -необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект  ПДн в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта  ПДн или договора, по которому субъект  ПДн будет являться выгодоприобретателем или поручителем; -необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта  ПДн, если получение согласия субъекта  ПДн невозможно; -необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;   -необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта  ПДн; -осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в  Федеральном законе от 27 июля 2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;   -осуществляется обработка  ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом  ПДн либо по его просьбе (далее —  ПДн, сделанные общедоступными субъектом персональных данных); -осуществляется обработка  ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.   4. Обработка ПДн     4.1.Субъектами персональных данных, обработка которых осуществляется  Оператором, являются: -государственные гражданские служащие Департамента; -граждане, претендующие на замещение вакантных должностей гражданской службы; -физические лица, состоящие с Департаментом в трудовых отношениях; -физические лица, ПДн которых обрабатываются в рамках выполнения функций и полномочий Оператора. 4.2.Все ПДн следует получать непосредственно от субъекта ПДн. Субъект ПДн самостоятельно принимает решение о предоставлении своих ПДн и дает письменное согласие на их обработку Оператором.  4.3.Если предоставление ПДн является обязательным в соответствии с федеральным законом, Оператор  разъясняет субъекту ПДн юридические последствия отказа предоставить свои ПДн  согласно приложению (Типовая форма разъяснения) к Правилам. 4.4.Письменное согласие не требуется,  если обработка ПДн осуществляется в случаях, указанных в пункте 3.4.настоящей Политики. 4.5.Запрещается получать и обрабатывать ПДн субъекта: -о его религиозных и философских убеждениях, интимной жизни; -о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами; -информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции; -передавать персональные данные работника представителям работников в порядке, установленном  Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.   4.6.В случае возникновения необходимости получения персональных данных  сотрудников  Оператора у третьей стороны следует известить их об этом  заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения ПДн.   4.7. В Департаменте обработка ПДн  осуществляется без использования  средств автоматизации, в автоматизированных информационных системах.  4.8.ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях  ПДн, в специальных разделах или на полях форм (бланков).   4.9.Решение, порождающее юридические последствия в отношении субъекта  ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его  ПДн только при наличии согласия в письменной форме субъекта  ПДн  или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта  ПДн.  4.10.Обезличивание  ПДн в Департаменте может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено действующим законодательством Российской Федерации. 4.11.Все меры конфиденциальности при сборе, обработке и хранении ПДн субъекта распространяется как на бумажные, так и на электронные (автоматизированные) носители информации. 4.12.Все сотрудники Оператора, имеющие доступ к ПДн субъектов, обязаны подписать обязательство о неразглашении ПДн. 4.13.Хранение ПДн субъектов осуществляется структурными подразделениями Оператора. 4.14.Личные дела сотрудников хранятся на бумажных носителях в папках, пронумерованные,  прошнурованные и скрепленные печатью. 4.15.Структурные подразделения, хранящие ПДн на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копированию согласно постановлению Правительства Российской федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 4.16.ПДн субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. 4.17.Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.   5. Права субъектов ПДн   5.1.Субъект  ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей: -подтверждение факта обработки ПДн Оператором;   -правовые основания и цели обработки  ПДн; -цели и применяемые Оператором способы обработки  ПДн; -наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к  ПДн или которым могут быть раскрыты  ПДн на основании договора с Оператором или на основании федерального закона; -обрабатываемые  ПДн, относящиеся к соответствующему субъекту  ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; -сроки обработки ПДн, в том числе сроки их хранения; -порядок осуществления субъектом  ПДн  прав, предусмотренных Федеральным  законом от 27.07.2006 № 152-ФЗ «О персональных данных»; -информацию об осуществленной или о предполагаемой трансграничной передаче данных; -наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу; -иные сведения, предусмотренные  федеральными законами. 5.2.В целях обеспечения защиты ПДн субъект  ПДн имеет право:  -требовать от Оператора уточнения его  ПДн, их блокирования или уничтожения в случае, если  ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;  -требовать предоставление сведений, указанных в пункте 5.1.  в доступной форме, и в них не должны содержаться  ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких  ПДн.  Данные сведения настоящей  Политики, предоставляются субъекту  ПДн его представителю Оператором при обращении либо при получении запроса субъекта  ПДн  или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта  ПДн  или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта  ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки  ПДн  Оператором, подпись субъекта  ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации; 5.3.В случае, если сведения, указанные в  пункте 5.1.  настоящей Политики, а также обрабатываемые  ПДн  были предоставлены для ознакомления субъекту  ПДн по его запросу, субъект  ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 5.1.  настоящей Политики, и ознакомления с такими  ПДн  не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн. 5.4.Субъект  ПДн  вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в  пункте 5.1. настоящей Политики, а также в целях ознакомления с обрабатываемыми  ПДн  до истечения срока, указанного в  пункте 5.3.настоящей Политики, в случае, если такие сведения и (или) обрабатываемые  ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в  пункте 5.2. настоящей Политики, должен содержать обоснование направления повторного запроса. 5.5.Должностные лица Оператора, в чьи обязанности входит обработка ПДн, обеспечивают: -объективное, всестороннее и своевременное рассмотрение запроса; -принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов ПДн; -направление письменных ответов по существу запроса. 5.6. Также субъект  ПДн  имеет право: -требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушением действующего законодательства в области обработки ПДн; -обжаловать в уполномоченный орган по защите прав субъектов ПДн или в суд неправомерные действия или бездействие Оператора;  -на возмещение убытков и (или) компенсацию морального вреда в судебном  порядке.   6. Меры по обеспечению безопасности  ПДн при их обработке   6.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных  Федеральным законом от 27.07.2006 № 152 «О персональных данных» (далее – Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами. В целях обеспечения мероприятий, предусмотренных действующих законодательством Российской Федерации в области обработки персональных данных, в Департаменте назначается сотрудник, ответственный за: доведения до сведения сотрудников Департамента положений законодательства  Российской Федерации о персональных данных, локальных актов Департамента по вопросам обработки персональных данных, требований к защите персональных данных; осуществление внутреннего контроля за соблюдением Департаментом и сотрудниками Департамента законодательства Российской Федерации о персональных данных при обработке персональных данных в информационных системах  Департамента, в том числе требований к защите персональных данных, обрабатываемых в информационных системах Департамента; осуществление внутреннего контроля за соблюдением Департаментом и сотрудниками Департамента законодательства Российской Федерации о персональных данных при обработке персональных данных без использования средств автоматизации (на бумажных носителях), а также за организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов. Деятельность Департамента по обеспечению безопасности персональных данных контролируется  уполномоченным органом по защите прав субъектов персональных данных в соответствии с Федеральным законом «О персональных данных». 7. Ответственность за нарушение требований Федерального закона  «О персональных данных»   7.1.Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность. 7.2.Моральный вред,  причиненный  субъекту  персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных  Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с  Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.   1. Общие положения   1.1.Настоящая Политика обработки персональных данных и сведений о реализуемых требованиях к защите персональных данных (далее – Политика) Департамента лесного хозяйства по Сибирскому федеральному округу  (далее – Оператор) разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных (далее – ПДн) субъектов ПДн. 1.2.Настоящая Политика определяет основные понятия, принципы, условия, цели, сроки обработки ПДн,  меры в области обработки и защиты ПДн, права субъектов ПДн. 1.3.Операторы и иные лица, получившие доступ к ПДн, обязаны  не раскрывать третьим лицам и не распространять  ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.   2. Основные понятия.   Для целей настоящей Политики используются следующие  понятия: 2.1.Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку  ПДН, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. 2.2.Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту  ПДн). 2.3.Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. 2.4.Автоматизированная обработка ПДн — обработка персональных данных с помощью средств вычислительной техники. 2.5.Неавтоматизированная обработка ПДн — обработка  ПДн, содержащихся в информационной системе  ПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека. 2.6.Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц. 2.7.Предоставление ПДн — действия, направленные на раскрытие  ПДн определенному лицу или определенному кругу лиц. 2.8.Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн). 2.9.Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн. 2.10.Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность конкретному субъекту ПДн. 2.11.Информационная система  ПДн — совокупность содержащихся в базах данных  ПДн и обеспечивающих их обработку информационных технологий и технических средств. 2.12.Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.     3. Цели, принципы и условия обработки ПДн     3.1.Целью обработки ПДн федеральных государственных гражданских служащих (далее — гражданские служащие),  работников Оператора,  граждан, претендующих на замещение вакантных должностей гражданской службы, иных субъектов ПДн, является исполнение положений законодательства Российской Федерации в области обработки ПДн при  осуществлении  функций и полномочий  Оператора.    3.2.Принципы обработки ПДн: -обработка  ПДн должна осуществляться на законной и справедливой основе; -обработка  ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей;   -не допускается объединение баз данных, содержащих  ПДН, обработка которых осуществляется в целях, несовместимых между собой; -обработке подлежат только ПДн, которые отвечают целям их обработки; -содержание и объем обрабатываемых  ПДн должны соответствовать заявленным целям обработки; -при обработке  ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;   -хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; -обрабатываемые  ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 3.3.Условия обработки  ПДн:   Обработка  ПДн осуществляется на основании условий, определенных законодательством Российской Федерации в области обработки ПДн: -обработка  ПДн осуществляется с согласия субъекта  ПДн на обработку его ПДн. 3.4.Обработка ПДн при отсутствия согласия субъекта ПДн на обработку ПДн допускается в следующих случаях: -необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей; -необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; -необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект  ПДн в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта  ПДн или договора, по которому субъект  ПДн будет являться выгодоприобретателем или поручителем; -необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта  ПДн, если получение согласия субъекта  ПДн невозможно; -необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;   -необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта  ПДн; -осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в  Федеральном законе от 27 июля 2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;   -осуществляется обработка  ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом  ПДн либо по его просьбе (далее —  ПДн, сделанные общедоступными субъектом персональных данных); -осуществляется обработка  ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.   4. Обработка ПДн     4.1.Субъектами персональных данных, обработка которых осуществляется  Оператором, являются: -государственные гражданские служащие Департамента; -граждане, претендующие на замещение вакантных должностей гражданской службы; -физические лица, состоящие с Департаментом в трудовых отношениях; -физические лица, ПДн которых обрабатываются в рамках выполнения функций и полномочий Оператора. 4.2.Все ПДн следует получать непосредственно от субъекта ПДн. Субъект ПДн самостоятельно принимает решение о предоставлении своих ПДн и дает письменное согласие на их обработку Оператором.  4.3.Если предоставление ПДн является обязательным в соответствии с федеральным законом, Оператор  разъясняет субъекту ПДн юридические последствия отказа предоставить свои ПДн  согласно приложению (Типовая форма разъяснения) к Правилам. 4.4.Письменное согласие не требуется,  если обработка ПДн осуществляется в случаях, указанных в пункте 3.4.настоящей Политики. 4.5.Запрещается получать и обрабатывать ПДн субъекта: -о его религиозных и философских убеждениях, интимной жизни; -о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами; -информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции; -передавать персональные данные работника представителям работников в порядке, установленном  Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.   4.6.В случае возникновения необходимости получения персональных данных  сотрудников  Оператора у третьей стороны следует известить их об этом  заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения ПДн.   4.7. В Департаменте обработка ПДн  осуществляется без использования  средств автоматизации, в автоматизированных информационных системах.  4.8.ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях  ПДн, в специальных разделах или на полях форм (бланков).   4.9.Решение, порождающее юридические последствия в отношении субъекта  ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его  ПДн только при наличии согласия в письменной форме субъекта  ПДн  или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта  ПДн.  4.10.Обезличивание  ПДн в Департаменте может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено действующим законодательством Российской Федерации. 4.11.Все меры конфиденциальности при сборе, обработке и хранении ПДн субъекта распространяется как на бумажные, так и на электронные (автоматизированные) носители информации. 4.12.Все сотрудники Оператора, имеющие доступ к ПДн субъектов, обязаны подписать обязательство о неразглашении ПДн. 4.13.Хранение ПДн субъектов осуществляется структурными подразделениями Оператора. 4.14.Личные дела сотрудников хранятся на бумажных носителях в папках, пронумерованные,  прошнурованные и скрепленные печатью. 4.15.Структурные подразделения, хранящие ПДн на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копированию согласно постановлению Правительства Российской федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 4.16.ПДн субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. 4.17.Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.   5. Права субъектов ПДн   5.1.Субъект  ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей: -подтверждение факта обработки ПДн Оператором;   -правовые основания и цели обработки  ПДн; -цели и применяемые Оператором способы обработки  ПДн; -наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к  ПДн или которым могут быть раскрыты  ПДн на основании договора с Оператором или на основании федерального закона; -обрабатываемые  ПДн, относящиеся к соответствующему субъекту  ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; -сроки обработки ПДн, в том числе сроки их хранения; -порядок осуществления субъектом  ПДн  прав, предусмотренных Федеральным  законом от 27.07.2006 № 152-ФЗ «О персональных данных»; -информацию об осуществленной или о предполагаемой трансграничной передаче данных; -наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу; -иные сведения, предусмотренные  федеральными законами. 5.2.В целях обеспечения защиты ПДн субъект  ПДн имеет право:  -требовать от Оператора уточнения его  ПДн, их блокирования или уничтожения в случае, если  ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;  -требовать предоставление сведений, указанных в пункте 5.1.  в доступной форме, и в них не должны содержаться  ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких  ПДн.  Данные сведения настоящей  Политики, предоставляются субъекту  ПДн его представителю Оператором при обращении либо при получении запроса субъекта  ПДн  или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта  ПДн  или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта  ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки  ПДн  Оператором, подпись субъекта  ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации; 5.3.В случае, если сведения, указанные в  пункте 5.1.  настоящей Политики, а также обрабатываемые  ПДн  были предоставлены для ознакомления субъекту  ПДн по его запросу, субъект  ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 5.1.  настоящей Политики, и ознакомления с такими  ПДн  не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн. 5.4.Субъект  ПДн  вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в  пункте 5.1. настоящей Политики, а также в целях ознакомления с обрабатываемыми  ПДн  до истечения срока, указанного в  пункте 5.3.настоящей Политики, в случае, если такие сведения и (или) обрабатываемые  ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в  пункте 5.2. настоящей Политики, должен содержать обоснование направления повторного запроса. 5.5.Должностные лица Оператора, в чьи обязанности входит обработка ПДн, обеспечивают: -объективное, всестороннее и своевременное рассмотрение запроса; -принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов ПДн; -направление письменных ответов по существу запроса. 5.6. Также субъект  ПДн  имеет право: -требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушением действующего законодательства в области обработки ПДн; -обжаловать в уполномоченный орган по защите прав субъектов ПДн или в суд неправомерные действия или бездействие Оператора;  -на возмещение убытков и (или) компенсацию морального вреда в судебном  порядке.   6. Меры по обеспечению безопасности  ПДн при их обработке   6.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных  Федеральным законом от 27.07.2006 № 152 «О персональных данных» (далее – Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами. В целях обеспечения мероприятий, предусмотренных действующих законодательством Российской Федерации в области обработки персональных данных, в Департаменте назначается сотрудник, ответственный за: доведения до сведения сотрудников Департамента положений законодательства  Российской Федерации о персональных данных, локальных актов Департамента по вопросам обработки персональных данных, требований к защите персональных данных; осуществление внутреннего контроля за соблюдением Департаментом и сотрудниками Департамента законодательства Российской Федерации о персональных данных при обработке персональных данных в информационных системах  Департамента, в том числе требований к защите персональных данных, обрабатываемых в информационных системах Департамента; осуществление внутреннего контроля за соблюдением Департаментом и сотрудниками Департамента законодательства Российской Федерации о персональных данных при обработке персональных данных без использования средств автоматизации (на бумажных носителях), а также за организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов. Деятельность Департамента по обеспечению безопасности персональных данных контролируется  уполномоченным органом по защите прав субъектов персональных данных в соответствии с Федеральным законом «О персональных данных». 7. Ответственность за нарушение требований Федерального закона  «О персональных данных»   7.1.Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность. 7.2.Моральный вред,  причиненный  субъекту  персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных  Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с  Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.  

Комментировать »