Положение о политике обработки персональных данных
Глава 1. Общие положения
1. Настоящий документ определяет Политику ГАУ СО «ГК «Гора Белая» в отношении организации обработки и обеспечения безопасности персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее Федеральный закон «О персональных данных»).
2. Настоящая политика разработана в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
3. Настоящая политика раскрывает основные принципы и правила, используемые ГАУ СО «ГК «Гора Белая» при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, персональные данные которых обрабатываются ГАУ СО «ГК «Гора Белая», а также содержит сведения об исполнении ГАУ СО «ГК «Гора Белая» обязанностей в соответствии с федеральным законом и сведения о реализуемых ГАУ СО «ГК «Гора Белая» требованиях к защите обрабатываемых персональных данных. Настоящая политика действует в отношении всех персональных данных, обрабатываемых ГАУ СО «ГК «Гора Белая».
4. Настоящая политика обязательна для исполнения всеми лицами, непосредственно осуществляющими обработку персональных данных. Нарушение порядка обработки персональных данных, определенного настоящей политикой, влечет материальную, дисциплинарную, гражданскую, административную и уголовную ответственность в соответствие с нормами действующего законодательства Российской Федерации.
5. Настоящая политика вступает в силу после ее утверждения приказом ГАУ СО «ГК «Гора Белая».
6. Все персональные данные, обрабатываемые в ГАУ СО «ГК «Гора Белая» являются информацией ограниченного доступа.
Глава 2. Правовое основание обработки ПДн
7. Правовым основанием обработки ПДн является совокупность правовых актов, в соответствии с которыми ГАУ СО «ГК «Гора Белая» осуществляет обработку персональных данных:
Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
Федеральный закон от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; Федеральный закон «О персональных данных»; Указ Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; Указ Президента Российской Федерации от 07.09.2010 № 1099 «О мерах по совершенствованию государственной наградной системы Российской Федерации»; постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Областной закон от 19 апреля 1999 года № 5-03 «О наградах, почетных званиях Свердловской области и наградах высших органов государственной власти Свердловской области»; Указ Губернатора Свердловской области от 09.01.2018 № 9-УГ «Об утверждении Порядка возбуждения ходатайств о награждении знаками отличия Свердловской области и ходатайств о присвоении почетных званий Свердловской области и Порядка внесения, согласования и рассмотрения представлений к награждению знаками отличия Свердловской области и представлений к присвоению почетных званий Свердловской области». Глава 3. Основные понятия
8. В настоящей политике используются следующие основные понятия:
1) Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2) Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
3) Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
4) Доступ к персональным данным - возможность получения персональных данных и их использования.
5) Запись персональных данных - ввод персональных данных в ЭВМ и (или) фиксация персональных данных на материальном носителе.
6) Извлечение персональных данных - действия, направленные на построение структурированных персональных данных из неструктурированных или слабоструктурированных машиночитаемых
документов.
7) Изменение персональных данных - действия, направленные на модификацию значений персональных данных.
8) Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
9) Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия
в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
10) Материальный носитель информации (носитель документированной информации) - материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе
в преобразованном виде.
11) Накопление персональных данных - действия, направленные на формирование исходного, несистематизированного массива персональных данных.
12) Неавтоматизированная обработка персональных данных (обработка персональных данных без использования средств автоматизации) - обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого субъекта персональных данных осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных, либо были извлечены из нее.
13) Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
14) Обновление персональных данных - действия, направленные на приведение записанных персональных данных в соответствие с состоянием отображаемых объектов предметной области.
15) Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных.
16) Общедоступные источники персональных данных - содержащиеся в информационных системах или зафиксированные на материальных носителях персональные данные, доступ неограниченного круга лиц к которым
предоставлен с письменного согласия субъекта этих персональных данных.
17) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
18) Передача персональных данных - распространение, предоставление или доступ к персональным данным.
19) Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту
персональных данных).
20) Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
21) Раскрытие персональных данных - обеспечение доступа к персональным данным неограниченного круга лиц независимо от цели получения указанных персональных данных.
22) Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
23) Сбор персональных данных - действия, направленные на получение оператором персональных данных от субъектов этих данных.
24) Систематизация персональных данных - действия, направленные на объединение и расположение персональных данных в определенной последовательности.
25) Специальные категории персональных данных - персональные данные, в том числе, касающиеся расовой, национальный принадлежности, политических взглядов, религиозных или философских убеждений, состояния
здоровья, интимной жизни, о судимости.
26) Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному
юридическому лицу.
27) Удаление персональных данных - изъятие персональных данных из информационных систем с сохранением последующей возможности их восстановления.
28) Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных.
29) Уточнение персональных данных - действия, направленные на обновление или изменение персональных данных.
30) Хранение персональных данных - процесс передачи персональных данных во времени, связанный с обеспечением неизменности состояний
материального носителя персональных данных.
Глава 4. Цели обработки ПДн
9. Совокупность операций обработки ПДн включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение ПДн.
10. ПДн обрабатываются ГАУ СО «ГК «Гора Белая» в следующих целях:
обеспечение соблюдения Конституции Российской Федерации, законодательных и нормативных правовых актов Российской Федерации, содействие гражданскому служащему в прохождении гражданской службы,
обучении и должностном росте; формирование кадрового резерва Оператора; ведение текущего бухгалтерского и налогового учета, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической
отчетности; профилактика коррупционных правонарушений; обеспечение соблюдения прав граждан при обработке поступающих обращений граждан; обеспечение соблюдения прав граждан при обработке поступающих ходатайств о награждении государственными наградами, ведомственными наградами, наградами Свердловской области.
Глава 5. Объем и категории обрабатываемых ПДн, категории субъектов ПДн
11, Содержание и объем обрабатываемых ПДн определяется согласно нормативным документам, перечисленным в пункте 4 настоящего Положения.
12. ГАУ СО «ГК «Гора Белая» обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению
к заявленным целям обработки.
13. Обработка специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах, в ГАУ СО «ГК «Гора Белая» не осуществляется.
14. ГАУ СО «ГК «Гора Белая» осуществляет обработку данных о состоянии здоровья субъекта ПДн:
1) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
2) для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц, когда получение согласия субъекта ПДн невозможно;
3) в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
4) для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия.
15. Обработке в ГАУ СО «ГК «Гора Белая» подлежат следующие категории субъектов ПДн:
1) лица, замещающие и ранее замещавшие должности государственной гражданской службы Свердловской области в ГАУ СО «ГК «Гора Белая», лица, замещающие и ранее замещавшие должности, не относящиеся к государственной гражданской службе Свердловской области в ГАУ СО «ГК «Гора Белая», кандидаты на замещение вакантных должностей, а также их родственники;
2) контрагенты ГАУ СО «ГК «Гора Белая» (физические лица);
3 ) представители или сотрудники контрагентов ГАУ СО «ГК «Гора Белая» (юридических лиц);
5) физические лица, обратившиеся в ГАУ СО «ГК «Гора Белая» в порядке, установленном Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке
рассмотрения обращений граждан Российской Федерации».
6) физические лица - претенденты на награждение государственными наградами, ведомственными наградами, наградами Свердловской области.
Глава 6. Принципы и способы обработки ПДн
16. Принципы обработки ПДн в ГАУ СО «ГК «Гора Белая»:
1) обработка ПДн осуществляется в соответствии с законодательством Российской Федерации и законодательством Свердловской области;
2) ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных органов, судебных органов;
3) сбор осуществляется только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
4) обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
5) обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации и Свердловской области;
6) не осуществляется трансграничная передача ПДн.
17. Способы обработки ПДн в ГАУ СО «ГК «Гора Белая»:
1) неавтоматизированная обработка;
2) автоматизированная обработка с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
3) смешанная обработка.
Глава 7. Права и обязанности
18. Субъект ПДн имеет право:
1) на доступ к своим ПДн;
2) на получение сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ;
3) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Право субъекта ПДн на доступ к своим ПДн ограничивается в случаях, предусмотренных Федеральным законом № 152-ФЗ
19. ГАУ СО «ГК «Гора Белая» обязано:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним
нормативными правовыми актами, если иное не предусмотрено законодательством Российской Федерации и законодательством Свердловской области;
2) обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите ПДн путем размещения на официальном сайте ГАУ СО «ГК «Гора Белая» в информационно-телекоммуникационной сети «Интернет».
20. ГАУ СО «ГК «Гора Белая» имеет право:
1) осуществлять передачу ПДн третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам), в случаях, установленных законодательством Российской Федерации
и законодательством Свердловской области;
2) поручить обработку ПДн субъектов ПДн третьим лицам с согласия субъекта ПДн, на основании договора, заключенного с этими лицами. Лица, осуществляющие обработку ПДн, на основании договора, обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные законодательством Российской Федерации и законодательством Свердловской области.
Глава 8. Обеспечение защиты ПДн
21. ГАУ СО «ГК «Гора Белая» при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Сведения о принимаемых ГАУ СО «ГК «Гора Белая» мерах для защиты ПДн являются информацией ограниченного доступа.
Глава 9. Заключительные положения
22. Настоящая Политика является внутренним документом ГАУ СО «ГК «Гора Белая» и подлежит размещению на официальном сайте ГАУ СО «ГК «Гора Белая» в информационно-телекоммуникационной сети «Интернет».
23. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных.
24. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки ПДн в ГАУ СО «ГК «Гора Белая».
25. Ответственность лиц, замещающих должности государственной гражданской службы Свердловской области в ГАУ СО «ГК «Гора Белая», осуществляющих обработку ПДн и имеющих право доступа к ним, за
невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними документами ГАУ СО «ГК «Гора Белая».