1. Общие положения
Настоящая Политика в отношении обработки персональных данных (далее — Политика) действует в отношении всей информации, которую администрация муниципального района «Удорский» (далее — Администрация), может получить о физических лицах в рамках ведения своей деятельности. Политика разработана в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и предназначена для ознакомления неограниченного круга лиц.
1.1. Права и обязанности оператора и субъекта персональных данных
1.1.1. Права субъекта персональных данных
1.1.1.1.Субъект персональных данных согласно законодательству Российской Федерации, имеет право:
− получать информацию, касающуюся обработки своих персональных данных;
− требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
− требовать прекращение обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;
− обжаловать действия или бездействие Администрации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
− на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.1.2. Обязанности оператора
1.1.2.1.При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию:
− подтверждение факта обработки персональных данных оператором;
− правовые основания и цели обработки персональных данных;
− цели и применяемые оператором способы обработки персональных данных;
− наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
− обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
− сроки обработки персональных данных, в том числе сроки их хранения;
− порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
− информацию об осуществленной или о предполагаемой трансграничной передаче данных;
− наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
− иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
1.1.2.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
1.1.2.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, когда:
− субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
− персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
− персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
− оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
− предоставление субъекту персональных данных сведений, предусмотренных частью 3 статьи 18.1. Федерального закона № 152 - ФЗ «О персональных данных», нарушает права и законные интересы третьих лиц.
До начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
− наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
− цель обработки персональных данных и ее правовое основание;
− предполагаемые пользователи персональных данных;
− установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» права субъекта персональных данных;
− источник получения персональных данных.
1.1.2.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в
пунктах 2, 3, 4, 5, 8 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.1.2.5. Принимать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.1.2.6. Принимать меры, направленные на обеспечение безопасности персональных данных при их обработке.
1.1.2.7. Устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
1.1.3. Права оператора
1.1.3.1. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, указанные в пункте 1.1.2.3. настоящей Политики, в случаях, если:
− субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
− персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
− персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
− оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
− предоставление субъекту персональных данных сведений, предусмотренных пунктом 1.1.2.3. настоящей Политики, нарушает права и законные интересы третьих лиц.
1.1.3.2. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса в части, касающейся обработки персональных данных субъекта персональных данных, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.2. Основные понятия и определения
− персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
− оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
− обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
Обработка персональных данных включает в себя, в том числе:
− сбор;
− запись;
− систематизацию;
− накопление;
− хранение;
− уточнение (обновление, изменение);
− извлечение;
− использование;
− передачу (распространение, предоставление, доступ);
− обезличивание;
− блокирование;
− удаление;
− уничтожение.
− автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
− распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
− предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
− блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
− уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
− обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной
информации определить принадлежность персональных данных конкретному субъекту персональных данных;
− информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
− трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Цели обработки персональных данных
Администрация осуществляет обработку персональных данных в следующих целях:
2.1. Работники: содействие в трудовой деятельности, обеспечение личной безопасности, учет результатов исполнения договорных обязательств, осуществление безналичных платежей на счет сотрудника, обеспечение работоспособности и сохранности ресурсов и имущества Администрации, осуществление причитающихся выплат, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, оформление доверенностей, пропусков, билетов, осуществление командировок, представление интересов Администрации, аттестация, подготовка необходимых документов для налоговой отчётности, повышение квалификации, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым кодексом Российской Федерации и другими нормативными правовыми актами в сфере трудовых отношений.
2.2. Контрагенты: осуществление и выполнение возложенных законодательством Российской Федерации на Администрацию функций, полномочий и обязанностей.
3. Правовое основание обработки персональных данных
Администрация осуществляет обработку персональных данных на основании следующих нормативных правовых актов:
− Конституции Российской Федерации от 12 декабря 1993 г.;
− Гражданского кодекса Российской Федерации;
− Трудового кодекса Российской Федерации;
− Устава муниципального образования муниципального района «Ижемский»;
− согласия на обработку персональных данных.
Обработка персональных данных необходима для осуществления прав и законных интересов Администрации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4. Обрабатываемые персональные данные
В Администрации обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных):
− сотрудников Администрации (состоящих в трудовых отношениях с Администрацией);
− контрагентов Администрации (по гражданско-правовым договорам);
− иных лиц, давших согласие Администрации на обработку своих персональных данных, либо сделавших общедоступными свои персональные данные или чьи персональные данные получены из общедоступного источника, а также в других случаях, предусмотренных законодательством Российской Федерации.
5. Категории обрабатываемых персональных данных
Администрация обрабатывает следующие категории персональных данных:
Таблица 1. Перечень персональных данных
| № | Содержание |
| 1. | Персональные данные |
| 1.1. | Персональные данные работников |
| 1.1.1. | Первичные учетные данные работника |
| 1.1.1.2 | фамилия, имя, отчество; |
| 1.1.2. | пол. |
| 1.1.2. | Сведения о занимаемой должности работника |
| 1.1.2.1. | наименование организации работодателя; |
| 1.1.2.2. | наименование структурного подразделения; |
| 1.1.2.3. | наименование занимаемой должности; |
| 1.1.2.4. | рабочая контактная информация (адрес рабочего места, номер рабочего телефона, адрес рабочей электронной почты и т.п.). |
| 1.1.3. | Сведения о реквизитах работника (дополнительные сведения) |
| 1.1.3.1. | данные документа удостоверяющего личность (серия, номер паспорта, кем и когда выдан); |
| 1.1.3.2. | дата и место рождения; |
| 1.1.3.3. | адрес регистрации и адрес фактического проживания; |
| 1.1.3.4. | индивидуальный номер налогоплательщика; |
| 1.1.3.5. | номер страхового свидетельства (СНИЛС); |
| 1.1.3.6. | реквизиты полиса медицинского страхования; |
| 1.1.3.7. | сведения о медицинском заключении по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождение; |
| 1.1.3.8 | сведения о пребывании за границей; |
| 1.1.3.9. | сведения о наличии или отсутствии судимости; |
| 1.1.3.10. | домашний телефон; |
| 1.1.3.11. | сотовый телефон. |
| 1.1.4. | Трудовая деятельность |
| 1.1.4.1. | сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи); |
| 1.1.4.2. | специальность по диплому; |
| 1.1.4.3. | квалификация по диплому; |
| 1.1.4.4. | форма профессионального послевузовского образования; |
| 1.1.4.5. | данные об аттестации работника; |
| 1.1.4.6. | данные о профессиональной переподготовке или повышении квалификации; |
| 1.1.4.7. | сведения об учёной степени; |
| 1.1.4.8. | сведения о государственных наградах, знаках отличия; |
| 1.1.4.9. | сведения о трудовой деятельности (стаж, места работы/должности/периоды работы/причины увольнения, сведения о трудовой книжке (№/серия/дата выдачи/записи в ней), сведения о командировках/отпусках, поощрениях, данные о трудовом договоре (№/дата/условия/гарантии)); |
| 1.1.4.10. | сведения о проведении служебных проверок, дисциплинированных расследований; |
| 1.1.4.11. | сведения о стаже в государственной службе; |
| 1.1.4.12. | информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; |
| 1.1.4.13. | номер расчетного счета, номер банковской карты; |
| 1.1.4.14. | информация об оформленных допусках к государственной тайне; |
| 1.1.4.15. | личная фотография. |
| 1.1.5. | Социальное положение работника |
| 1.1.5.1. | сведения о доходах, об имуществе и обязательствах имущественного характера, в т.ч. членов семьи, а также о расходах; |
| 1.1.5.2. | тип и сумма налогового вычета; |
| 1.1.5.3. | номер полиса медицинского страхования; |
| 1.1.5.4. | сведения об инвалидности, временной нетрудоспособности и прохождения диспансеризации; |
| 1.1.5.5. | сведения о составе семьи и сведения о близких родственниках; |
| 1.1.5.6. | реквизиты свидетельств о государственной регистрации актов гражданского состояния; |
| 1.1.5.7. | сведения о семейном положении; |
| 1.1.5.8. | сведения о воинском учете и реквизиты документов воинского учёта; |
| 1.1.5.9. | сведения о социальных льготах; |
| 1.1.5.10. | информация о владении иностранными языками (степень владения); |
| 1.1.5.11. | сведения о гражданстве. |
| 1.2. | Контрагенты (Юридические лица и их официальные представители) |
| 1.2.1. | фамилия, имя, отчество; |
| 1.2.2. | пол; |
| 1.2.3. | данные документа удостоверяющего личность (серия, номер паспорта, кем и когда выдан); |
| 1.2.4. | дата и место рождения; |
| 1.2.5. | адрес регистрации и адрес фактического проживания; |
| 1.2.6. | рабочая контактная информация (номер рабочего телефона, адрес рабочей электронной почты и т.п.); |
| 1.2.7. | номер страхового свидетельства (СНИЛС); |
| 1.2.8. | индивидуальный номер налогоплательщика; |
| 1.2.9. | лицевой расчетный счет; |
| 1.2.10. | данные о начисленных суммах согласно договору. |
6. Перечень действий с персональными данными
6.1. Администрация осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) персональных данных с использованием средств автоматизации, а также без использования таких средств.
Администрация может поручить обработку персональных данных иным третьим лицам в случаях, если:
− субъект дал согласие на осуществление таких действий (при наличии условий в соглашении (поручение оператора) с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
− это необходимо для осуществления и выполнения, возложенных законодательством Российской Федерации на Администрацию функций, полномочий и обязанностей;
− в других случаях, предусмотренных законодательством Российской Федерации.
Трансграничная передача персональных данных не осуществляется.
6.2. Защита персональных данных
6.2.1. Система защиты персональных данных, обрабатываемых в Администрации, включает в себя совокупность организационных, технических и физических мер по защите информации в соответствии с требованиями нормативных правовых актов в области защиты персональных, а именно:
− Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
− постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных осуществляемой без использования средств защиты автоматизации»;
− постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами;
− постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
− приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
− приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
− приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении требований состава и содержания организационных и технических мер по 11 обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
− приказа ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
6.2.2. Организационные меры по защите персональных данных включают в себя:
− назначение ответственного лица за организацию обработки персональных данных;
− регламентирование следующих процессов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, в том числе во время чрезвычайных ситуаций;
− осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации;
− определение оценки вреда субъектам персональных данных;
− определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
− учет материальных носителей и мест хранения персональных данных;
− своевременную актуализацию списков работников, допущенных к обработке персональных данных в информационных системах персональных данных без использования средств автоматизации;
− обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
− восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
− установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
− присвоение статуса контролируемой зоны для отдельных помещений с расположенным в них оборудованием, оказывающим повышенное влияние на автоматизированные процессы обработки информации (в том числе персональных данных) в организации;
− разграничение ответственности между сотрудниками Администрации.
6.2.3. Технические меры по защите персональных данных включают в себя:
7. Рассмотрение запросов субъектов персональных данных или их законных представителей
7.1. Субъект персональных данных имеет право обратиться с письменным запросом (далее – Запрос) установленной формы в Администрацию с целью получения информации, касающейся обработки его персональных данных.
7.2. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.3. В случае направления запроса в форме электронного документа запрос должен содержать:
− номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
− сведения о дате выдачи указанного документа и выдавшем его органе;
− сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
− подпись субъекта персональных данных или его представителя.
7.4. Сведения по запросу предоставляются субъекту персональных данных Администрации в доступной форме.
7.5. В случае если сведения, указанные в ответе были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться или направить повторный запрос в целях получения сведений и ознакомления с персональными данными не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральными законами, принятыми в соответствии с ними нормативными правовыми актами или договорами, стороной которых являются либо выгодоприобретатели, либо поручители.
7.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе, содержащей:
− подтверждение факта обработки персональных данных оператором;
− правовые основания и цели обработки персональных данных;
− цели и способы обработки персональных данных, применяемые в Администрации;
− место нахождения Администрации, сведения о лицах (за исключением сотрудников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федеральных законов;
− обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
− сроки обработки персональных данных, в том числе сроки их хранения;
− наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена такому лицу;
− иные сведения, предусмотренные действующим законодательством.
7.7. Субъект персональных данных вправе повторно обратиться или направить повторный запрос в целях получения сведений, касающихся обработки его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 7.5. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 7.5. настоящей Политики, должен содержать обоснование направления повторного запроса.
7.8. Администрации вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 7.5. и 7.6. настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Администрации.
7.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8. Изменение политики
Администрация имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики.