Приложение №1
к приказу ФБУ «Государственный региональный центр стандартизации, метрологии и испытаний в Дальневосточном федеральном округе»
от 12.10.2022 г. № 152
Положение об обработке персональных данных Федеральным бюджетным учреждением «Государственный региональный центр стандартизации, метрологии и испытаний в Дальневосточном федеральном округе»
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об обработке персональных данных (далее - Положение) разработано Федеральным бюджетным учреждением «Государственный региональный центр стандартизации, метрологии и испытаний в Дальневосточном федеральном округе» (далее - Центр) в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Федеральный закон № 152-ФЗ) , Трудовым кодексом Российской Федерации, Постановлением Правительства РФ от 15.09.2008 № 687, Постановлением Правительства РФ от 01.11.2012 № 1119, Приказом ФСТЭК России от 18.02.2013 № 21.
Настоящее Положение определяет политику, порядок и условия в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.3. Настоящее Положение утверждается приказом директором Центра, вступает в силу с момента утверждения, действует бессрочно.
Все изменения в Положение вносятся приказами директора.
1.4. Настоящее Положение распространяется на всех сотрудников Центра. Требования Положения также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Центром, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.
1.5. Положение является общедоступным документом, декларирующим для любых заинтересованных лиц основы деятельности Центра в отношении обработки персональных данных и подлежит размещению в открытом доступе на сайте Центра ( https://primcsm.ru/).
1.6. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.
1.7. Контроль за соблюдением сотрудниками Центра требований законодательства Российской Федерации и положений локальных актов возложен на Ответственного за организацию обработки персональных данных.
- ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных организована на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Центра;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Центр принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ и настоящим Положением.
- УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. При обработке персональных данных Центр применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с Федеральным законом № 152-ФЗ.
3.2. Условия обработки персональных данных Центром:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Центр функций, полномочий и обязанностей;
3) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
4) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
6) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.4. Центр не вправе обрабатывать персональные данные без полученного письменного согласия субъекта на обработку персональных данных, за исключением случаев, предусмотренных действующим законодательством.
Форма согласия на обработку персональных данных приведена в Приложении № 1.
3.5. В случае получения персональных данных не от субъекта персональных данных Центр обязан до начала обработки персональных данных предоставить субъекту персональных данных информацию, предусмотренную ч.3 ст. 18 Федерального закона № 152-ФЗ.
3.6. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Центре используются следующие процедуры:
- Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
- Оценка вреда, который может быть причинен субъектам персональных данных;
- Ознакомление работников Центра, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами и обучение;
- Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных.
- ПОРЯДОК ОБЕСПЕЧЕНИЯ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом № 152-ФЗ и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- применяемые способы обработки персональных данных;
- сведения о лицах, имевших доступ к персональным данным;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации в области персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
- иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
4.3. Информация, касающаяся обработки персональных данных, предоставляется в доступной форме, в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
4.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
4.5. Информация, касающаяся обработки персональных данных, предоставляется субъектам персональных данных или их представителям по письменному запросу, который должен содержать следующие данные:
номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование выдавшего органа;
сведения, подтверждающие факт обработки персональных данных в Центре подпись заинтересованного субъекта персональных данных или его представителя.
К запросу, направленному представителем субъекта персональных данных, должен прилагаться документ (надлежащим образом заверенная копия), подтверждающий его полномочия.
4.6. Центр обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
4.7. В случае отказа в предоставлении информации дается мотивированный ответ, содержащий ссылку на положение законодательства Российской Федерации, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения заинтересованного субъекта персональных данных или его представителя, либо с даты получения запроса.
4.8. Центр обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
- СПОСОБЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Способы обработки персональных данных:
- с использованием средств автоматизации;
- без использования средств автоматизации;
- смешанная обработка персональных данных.
5.2. В Центре обрабатываются персональные данные следующих категорий субъектов:
- работники Центра;
- кандидаты на замещение вакантных должностей;
- физические лица, являющиеся контрагентами, представителями или работниками контрагентов Центра;
- другие субъекты персональных данных, которые не вошли в вышеперечисленные категории и обработка персональных данных которых не противоречит законодательству Российской Федерации.
5.3. Целью обработки персональных данных является:
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Центр, в том числе по предоставлению персональных данных в органы государственной власти, в фонд Пенсионного и социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, военные комиссариаты, а также в иные государственные органы;
- регулирование трудовых отношений с работниками Центра (обучение, должностной рост, учет результатов исполнения должностных обязанностей) и ведение кадровой работы;
- ведения бухгалтерского учета;
- содействия в осуществлении деятельности работников Центра;
- предоставление работникам Центра, в том числе бывшим, и членам их семей дополнительных социальных гарантий;
- защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- оформления допуска к государственной тайне;
- профилактики коррупционных и иных правонарушений;
- пенсионного, медицинского обеспечения и оформления соответствующих документов;
- реализации мер материального, социального и жилищного обеспечения;
- охраны труда в Центре;
- обеспечения пожарной, информационной безопасности;
- обеспечения общехозяйственной деятельности;
- подготовка, заключение, исполнение и прекращение договоров с контрагентами;
- формирование справочных материалов для внутреннего информационного обеспечения деятельности Центра;
- исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществление прав и законных интересов Центра в рамках осуществления видов деятельности, предусмотренных Уставом Центра;
- в иных законных целях.
- ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
6.1.1. Под обработкой персональных данных в Центре понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
6.1.2. Перечень персональных данных, обрабатываемых в Центре, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Центра с учетом целей обработки персональных данных, указанных в п. 5.3. настоящего Положения.
6.1.3. Для субъектов персональных данных, указанных в п. 5.2.1. настоящего Положения, обрабатываются следующие категории персональных данных:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения, дата, место и причина их изменения);
дата и место рождения;
документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан);
идентификационный номер налогоплательщика;
адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
номер контактного телефона, сведения о других способах связи;
сведения о близких родственниках (отец, мать, братья, сестры и дети), а также супругах, в том числе бывших, супругах братьев и сестер, братьях и сестрах супругов (степень родства, фамилия, имя, отчество, дата и место рождения, адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания, место работы и занимаемые должности), в том числе постоянно проживающих за границей (с какого времени проживают за границей) и (или) оформляющих документы для выезда на постоянное место жительства в другое государство;
сведения о пребывании за границей (когда, где, с какой целью);
отношение к воинской обязанности, сведения о воинском учете, реквизиты документа о воинском учете (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
сведения об отчислениях в Федеральную налоговую службу, Пенсионный фонд Российской Федерации;
сведения об отчислениях в Фонд социального страхования;
сведения о гражданстве;
сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
сведения о трудовой деятельности;
сведения о профессиональной переподготовке и (или) повышении квалификации;
сведения об ученой степени, ученом звании;
сведения о владении иностранными языками, уровень владения;
сведения о прежних местах работы;
сведения о государственных наградах, иных наградах;
сведения о поощрениях и взысканиях;
сведения об оформленных допусках к государственной тайне;
сведения о ежегодных оплачиваемых отпусках и иных отпусках;
номера расчетных счетов, банковских карт;
сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
иные персональные данные, обработка которых необходима для реализации целей, предусмотренных, п. 5.3. настоящего Положения.
6.1.4. Для субъектов персональных данных, указанных в п. 5.2.2. настоящего Положения, обрабатываются следующие категории персональных данных:
фамилия, имя, отчество (последнее при наличии);
дата рождения;
образование;
предыдущие места работы;
почтовый адрес;
адрес электронной почты;
указанный в обращении контактный телефон;
иные персональные данные, указанные заявителем в резюме, а также ставшие известными в ходе собеседования.
6.1.5. Для субъектов персональных данных, указанных в п. 5.2.3. настоящего Положения, обрабатываются следующие категории персональных данных:
фамилия, имя, отчество (последнее при наличии);
адрес установки средства измерения контрагента (может совпадать с адресом регистрации по месту жительства);
адрес электронной почты;
контактный телефон;
иные персональные данные, указанные заявителем в обращении, а также ставшие известными в ходе оформления гражданско-правовых договоров.
6.1.6. Субъект персональных данных обязан предоставлять точную и достоверную информацию и своевременно извещать Центр об изменении своих персональных данных.
При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.
6.1.7. Центр не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
6.2. ПОЛУЧЕНИЕ (СБОР) ПЕРСОНАЛЬНЫХ ДАННЫХ
6.2.1. Сбор персональных данных осуществляется путем получения их непосредственно от субъекта персональных данных.
В случае возникновения необходимости получения персональных данных у третьей стороны следует заранее известить об этом субъекта персональных данных, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных.
6.2.2. Запрещается обрабатывать персональные данные, не предусмотренные настоящим Положением, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.2.3. Сбор, запись, систематизация, накопление и уточнение персональных данных осуществляются путем:
получения оригиналов необходимых документов;
копирования оригиналов документов;
внесения сведений в учетные формы (на бумажных и электронных носителях);
формирования персональных данных в ходе их обработки;
внесения персональных данных в информационные системы.
6.2.4. Получение письменных согласий на обработку персональных данных работников Центра, в случаях, когда в соответствии с федеральными законами для обработки персональных данных требуется письменное согласие, осуществляется сотрудником, в полномочия которого входит получение персональных данных.
Получение письменных согласий на обработку персональных данных граждан, претендующих на замещение вакантных должностей, осуществляется специалистом по кадрам.
Получение письменных согласий на обработку персональных данных физических лиц, являющихся контрагентами, представителями или работниками контрагентов Центра в случаях, когда в соответствии с федеральными законами для обработки персональных данных требуется письменное согласие, осуществляется сотрудником, в полномочия которого входит получение персональных данных.
6.2.5. Письменные согласия работников Центра хранятся в их личном деле.
Письменные согласия граждан, претендовавших на замещение вакантных должностей, но не принятых на работу в Центр, хранятся у специалиста по кадрам в установленном порядке.
Письменные согласия физических лиц, являющихся контрагентами, представителями или работниками контрагентов Центра хранятся вместе с гражданско-правовыми договорами.
6.3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
6.3.1. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
6.3.2. При обработке персональных данных, осуществляемой без использования средств автоматизации, персональные данные на бумажных носителях хранятся в помещениях, оборудованных решетками на окнах и металлической дверью. Персональные данные (материальные носители), хранятся в металлических запираемых шкафах.
6.3.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
6.3.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
типовая форма (бланк) или связанные с ней документы (инструкции по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Центра, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;
типовая форма (бланк) должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
типовая форма (бланк) должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма (бланк) не должна допускать фиксацию на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
6.3.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, предпринимаются меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.3.6. Данные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
6.3.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.3.8. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание)
6.4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ
6.4.1. При обработке персональных данных в информационных системах выполняются требования, установленные постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
6.4.2. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Центра, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, а также принятия следующих мер по обеспечению безопасности:
- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Центра, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение процедур оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- учет машинных носителей персональных данных;
- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах Центра, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
6.4.3. Меры по обеспечению информационной безопасности персональных данных при их обработке распространяются как на персональные данные, зафиксированные на бумажных носителях, так и на персональные данные в электронном виде.
6.4.4. Организацию защиты персональных данных в подразделениях обеспечивают начальники структурных подразделений, а персональных данных, находящихся в информационных системах, - совместно с отделом экономического планирования и продвижения цифровых сервисов и услуг.
6.4.5. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается в установленном действующим законодательством Российской Федерации в сфере персональных данных порядке путем выполнения комплекса организационных и технических мер, обеспечивающих их безопасность.
К указанным мерам относятся:
- безопасность помещения, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа;
- обеспечение сохранности носителей персональных данных;
- утверждение перечня лиц, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе;
- защита информацию с помощью средств, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз).
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Центра;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Центра, необходимых для выполнения требований к защите персональных данных;
- применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- учет всех информационных систем, машинных носителей, а также архивных копий персональных данных;
- организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
6.4.6. Сотруднику Центра, имеющему право осуществлять обработку персональных данных в информационных системах, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе в установленном порядке.
6.4.7. Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
6.4.8. Обработка персональных данных осуществляется в:
- Единой системе учета и управления подсистемы «Контур» Федеральной государственной информационной системой Росстандарта модуль «Управление персоналом»;
- Программе 1С: Зарплата и кадры бюджетного учреждения 8;
- Программе 1С:Бухгалтерия государственного учреждения 8 ПРОФ;
- Единой метрологической платформе на базе Айсберг;
- Федеральной государственной информационной системе Росаккредитации.
6.4.9. Рабочее место с установленной Единая система учета и управления подсистемы «Контур» Федеральной государственной информационной системой Росстандарта модуль «Управление персоналом» содержит следующие сведения о субъекте персональных данных:
Табельный №;
фамилию, имя, отчество;
дата рождения;
пол;
место рождения;
гражданство;
вид документа, удостоверяющего личность, серию и номер документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
адрес регистрации и адрес фактического проживания;
почтовый адрес;
контактный телефон, факс (при наличии), адрес электронной почты;
ИНН;
номер страхового свидетельства;
сведения об образовании: учебное заведение, период обучения, реквизиты документа об образовании, квалификация, специальность;
переподготовка или повышение квалификации: учебное заведение, период обучения, реквизиты документа об окончании обучения, программа обучения;
ученая степень, ученое звание;
данные о миграционном учете;
должность и структурное подразделение;
данные о приеме, переводе, увольнении;
сведения о предыдущей трудовой деятельности;
сведения о спортивной квалификации;
данные о знании иностранных языков;
данные об инвалидности;
данные о переболевших и привитых от КОВИД-19.
6.4.10. Рабочее место с установленными Программами 1С:Бухгалтерия государственного учреждения 8 ПРОФ и 1С:Зарплата и кадры бюджетного учреждения 8 содержит следующие сведения о субъекте персональных данных:
Табельный №;
фамилию, имя, отчество;
дата рождения;
пол;
место рождения;
гражданство;
вид документа, удостоверяющего личность, серию и номер документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
адрес регистрации и адрес фактического проживания;
почтовый адрес;
ИНН;
номер страхового свидетельства;
должность и структурное подразделение;
данные о приеме, переводе, увольнении;
данные о начисленной и выплаченной заработной плате, материальной помощи, премии, налогах;
данные об отпуске: датах начала и окончания, видах отпуска, начислениях, налогах;
данные о командировках: датах начала и окончания, начислениях, налогах;
данные о временной нетрудоспособности: датах начала и окончания, начислениях.
6.4.11. Рабочее место с установленной Единой метрологической платформой на базе Айсберг содержит следующие сведения о субъекте персональных данных:
фамилию, имя, отчество клиента;
место нахождения средства измерений (может совпадать с адресом регистрации по месту жительства)
телефон, адрес электронной почты.
6.4.12. Рабочее место с установленной Федеральной государственной информационной системой Росаккредитации содержит следующие сведения о субъекте персональных данных:
фамилию, имя, отчество;
дата рождения;
место рождения;
номер страхового свидетельства;
сведения об образовании: учебное заведение, период обучения, реквизиты документа об образовании, квалификация, специальность;
переподготовка или повышение квалификации: учебное заведение, период обучения, реквизиты документа об окончании обучения, программа обучения;
сведения о предыдущей трудовой деятельности;
сведения о трудовом договоре (дата, №);
данные о временном отсутствии (отпуск, временная нетрудоспособность, период);
6.4.13. Персональные данные могут быть предоставлены для ознакомления:
- сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации, в части, касающейся их должностных обязанностей;
- уполномоченным работникам федеральных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.
6.5. СРОКИ ОБРАБОТКИ, ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
И ПОРЯДОК ИХ УНИЧТОЖЕНИЯ
6.5.1. Обработка персональных данных прекращается в следующих случаях:
- достижении целей обработки персональных данных или при утрате необходимости в их достижении;
- истечении срока обработки персональных данных, установленного при сборе персональных данных;
- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- при невозможности устранения допущенных нарушений при обработке персональных данных;
- при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
- при отзыве субъектом персональных данных согласия, если в соответствии с Федеральным законом № 152-ФЗ обработка персональных данных допускается только с его согласия.
6.5.2. Обработка персональных данных прекращается в сроки, установленные законодательством Российской Федерации.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.5.3. Персональные данные хранятся в электронном виде и на бумажных носителях. В электронном виде персональные данные хранятся в информационных системах персональных данных, а также в архивных копиях баз данных информационных систем персональных данных. В бумажном виде персональные данные хранятся в составе документов и их копий, содержащих информацию о субъектах персональных данных.
6.5.4. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
6.5.5. Персональные данные субъектов персональных данных на бумажных носителях хранятся в течение сроков их хранения, установленных федеральным законодательством, иными нормативными правовыми актами Российской Федерации, а также Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 года N 236, с последующим формированием и передачей на постоянное хранение в Государственный архив Российской Федерации в случаях и порядке, предусмотренных законодательством Российской Федерации.
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6.5.6. Сотрудник, осуществляющий обработку персональных данных, ежегодно проводит экспертизу ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
6.5.7. Описи дел и акты о выделении к уничтожению документов (дел) рассматриваются на заседании Экспертной комиссии Центра.
Акты о выделении к уничтожению документов (дел) утверждаются директором Центра. Описи дел утверждаются директором Центра только после утверждения описей дел постоянного хранения Экспертно-проверочной комиссией Федерального казенного учреждения «Российский государственный исторический архив Дальнего Востока».
6.5.8. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
6.5.9. Уничтожение документов, содержащих персональные данные, производится термическим или механическим способом.
Уничтожение персональных данных на электронных носителях производится под контролем ответственного за организацию обработки персональных данных, путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Сведения об уничтожении вносятся в акт о выделении к уничтожению документов, не подлежащих хранению.
- ОТВЕТСТВЕННЫЕ ЗА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработку персональных данных организуют сотрудники, перечисленные в Приложении № 2. (далее - Служба ОПД).
Иным лицам обработка персональных данных, собранных в соответствии с настоящим Положением, не поручается.
7.2. Сотрудники Центра, указанные в Приложении № 2, обязаны проходить повышение квалификации по программе «Обработка персональных данных» не реже 1 раза в 5 лет. Обучение организуется специалистом по кадрам в соответствии с утвержденным графиком повышения квалификации.
7.3. К обработке персональных данных допускаются лица, прошедшие процедуру допуска, которая включает в себя:
- ознакомление с локальными нормативными актами Центра, регламентирующими порядок и процедуры работы с персональными данными;
- подписание сотрудником Центра обязательства о неразглашении персональных данных и прекращении, в случае расторжения с ним трудового договора, обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (Приложение № 3);
- получение индивидуальных прав доступа в информационным системам, содержащим персональные данные.
7.4. Служба ОПД:
1) доводит до сведения работников Центра положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Центра;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
7.5. Служба ОПД обеспечивает:
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных;
- соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
- содействие ответственному за организацию обработки персональных в выполнении им своих обязанностей;
- незамедлительное доведение до сведения своего непосредственного начальника и ответственного за организацию обработки персональных (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации и документов Центра другими сотрудниками Центра или контрагентами.
7.6. Сотрудникам Центра, указанным в Приложении № 3 к настоящему Положению, запрещается передача электронных копий баз (банков) данных, содержащих персональные данные, любым сторонним организациям, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.7. Сотрудники Центра, указанные в Приложении № 3 к настоящему Положению, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность за нарушения законодательства при обработке персональных данных.
- ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Ответственный за организацию обработки персональных (далее – Куратор ОПД) данных назначается приказом директора Центра из числа работников, профессиональные навыки и знания нормативной базы по защите информации которых, позволяют выполнять возложенные на него обязанности.
8.2. Куратор ОПД должен знать законодательные и иные нормативные правовые акты Российской Федерации, локальные акты, методические материалы в сфере обработки персональных данных.
Куратор ОПД должен проходить повышение квалификации по программе «Обработка персональных данных» не реже 1 раза в 5 лет. Обучение организуется специалистом по кадрам в соответствии с утвержденным графиком повышения квалификации.
8.3. Куратор ОПД:
- доводит до сведения работников требования законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- отвечает за организацию, обеспечение своевременного и квалифицированного выполнения Службой ОПД законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- организует принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Центром, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- организует прием и обработку обращений и запросов субъектов персональных данных или их представителей;
- обеспечивает рассмотрение организационных вопросов защиты информации;
- информирует лиц, отвечающих за безопасность информационных систем персональных данных, о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам;
- участвует в рассмотрении вопросов о нарушениях в сфере защиты информации, в анализе ситуаций, касающихся нарушений требований к защите персональных данных и фактов несанкционированного доступа к персональным данным;
- информирует директора Центра обо всех попытках несанкционированного доступа к персональным данным, нарушениях сотрудниками Центра требований к защите персональных данных;
- осуществляет внутренний контроль за соблюдением Службой ОПД требований законодательства Российской Федерации в области персональных данных, в том числе требований к их обработке и защите;
- в случае нарушения требований к защите персональных данных принимает необходимые меры по восстановлению нарушенных прав субъектов персональных данных;
- требует от сотрудников прекращения обработки персональных данных в случае нарушения требований по защите персональных данных.
8.4. Куратор ОПД вправе:
- иметь доступ к информации, касающейся порученной ему обработки персональных данных;
- привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников Центра с возложением на них соответствующих обязанностей и закреплением ответственности;
- знакомиться с внутренними документами Центра, регламентирующими процессы обработки персональных данных.
- использовать в работе предоставленные ему сетевые и информационные ресурсы.
- вносить директору Центра предложения по совершенствованию системы защиты информации в Центре.
- принимать решение о прекращении обработки персональных данных в информационных системах персональных данных при несанкционированном доступе (попытках) к ним или возникновении ситуаций, послуживших причиной возможной утраты персональных данных;
- ВНУТРЕННИЙ КОНТРОЛЬ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Внутренний контроль соответствия обработки персональных данных в Центре требованиям к защите персональных данных (далее - внутренний контроль) проводится в целях выявления и предотвращения нарушений законодательства Российской Федерации в области персональных данных.
9.2. Постоянный контроль за выполнением требований защиты информации при обработке персональных данных возлагается на:
начальников структурных подразделений Центра, в обязанности которого входит обработка персональных данных;
отдел экономического планирования и продвижения цифровых сервисов и услуг - при обработке персональных данных в информационных системах персональных данных.
9.3. Внутренний контроль подразделяется на плановый и внеплановый.
9.4. Плановый контроль условий обработки персональных данных проводится не реже 1 раза в 3 года на основании утвержденного плана. Срок проведения планового внутреннего контроля составляет не более 10 рабочих дней.
В ежегодном плане проверок по каждой проверке устанавливаются объект внутреннего контроля, проверяемый период, срок проведения проверки, члены комиссии.
9.5. Внеплановый контроль проводится по приказу директора Центра, в том числе принятому по представлению куратора ОПД, на основании поступившего письменного или устного обращения от субъекта персональных данных о нарушении законодательства в области персональных данных. Внеплановый внутренний контроль должен быть завершен не позднее 20 дней со дня принятия решения о его проведении. О результатах внепланового внутреннего контроля информируется заинтересованное лицо.
9.6. Внутренний контроль проводится комиссией. В состав комиссии включаются куратор ОПД (в качестве председателя комиссии), и не менее двух сотрудников Центра, определяемых, соответственно, ежегодным планом проверок при плановом контроле или приказом директора Центра о проведении внепланового контроля (в качестве членов комиссии).
9.7. Контроль осуществляется непосредственно на месте обработки персональных данных путем опроса либо при необходимости путем осмотра рабочих мест лиц, участвующих в процессе обработки персональных данных.
9.8. Результаты внутреннего контроля оформляются в виде справки, подписываемой членами комиссии.
9.9. При выявлении в ходе внутреннего контроля нарушений в справке отражается перечень мероприятий по устранению нарушений и срок их исполнения.
9.10. В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля лицам, ответственным за проведение внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.
- РАБОТА С ДРУГИМИ ОПЕРАТОРАМИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ С ПРИМЕНЕНИЕМ СИСТЕМЫ ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ .
10.1. На основании соглашений (договоров) Центр осуществляет обработку персональных данных в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия (далее - СЭВ).
10.2. Центр в рамках СЭВ в соответствии с требованиями законодательства Российской Федерации, а также на основании поступивших запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые Службой ОПД.
10.3. Передача (распространение, предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляются в случаях и порядке, предусмотренных законодательством Российской Федерации.
10.4. При передаче персональных данных третьим лицам обеспечиваются все необходимые меры по защите передаваемой информации в соответствии с требованиями законодательства Российской Федерации в области защиты персональных данных.
- КОНТРОЛЬ И ОТВЕТСТВЕННОСТЬ
11.1. Контроль за исполнением Положения возложен на Куратор ОПД.
11.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).
11.3. Начальники структурных подразделений Центра несут персональную ответственность за исполнение обязанностей их подчиненными.
Дополнительная информация
Согласие на Обработку персональных данных
Политика конфиденциальности
Положение об обработке Персональных Данных