Положение об обработке персональных данных в Агентстве по регулированию цен и тарифов Ульяновской области
1. Общие положения.
Настоящая политика в отношении обработки персональных данных (далее — Политика) в Агентстве по регулированию цен и тарифов Ульяновской области (далее — Оператор) разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ) и Рекомендациями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом № 152-ФЗ.
Политика разработана с целью обеспечения прав и свобод физических лиц при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну, а также с целью соблюдения требований законодательства Российской Федерации в области защиты персональных данных. Настоящая Политика раскрывает основные принципы и правила, используемые Оператором при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, а также содержит сведения об исполнении Оператором обязанностей в соответствии с Федеральным законом № 152-ФЗ и сведения о реализуемых Оператором требований к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых Оператором.
Политика является общедоступным документом и подлежит опубликованию на официальном сайте Оператора, в случае его наличия, в информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет»). Настоящая Политика может быть дополнена либо изменена. В случае внесения в настоящую Политику существенных изменений, к ним обеспечивается неограниченный доступ заинтересованным субъектам персональных данных.
Требования Политики являются обязательными для исполнения всеми работниками Оператора, имеющими доступ к персональным данным.
Основные понятия, используемые в Политике:
- 1) персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
- 2) оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- 3) обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- 4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
- 5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
- 6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
- 7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- 8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- 9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- 10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- 11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- 12) конфиденциальность персональных данных — свойство безопасности информации, при котором доступ к ней осуществляют только субъекты доступа, имеющие на него право.
2. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы,сроки их обработки.
Обработка персональных данных ведётся в целях:
- Исполнения обязанностей по учёту труда работников Оператора, наградные материалы, выплате работникам причитающейся заработной платы, компенсаций и премий, а также по осуществлению налоговых отчислений и иных социальных гарантий и компенсаций.
Категории персональных данных:
Персональные данные: фамилия, имя, отчество; год рождения; месяц рождения; место рождения; пол; семейное положение; имущественное положение; доходы; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчётного счета; номер лицевого счёта; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчётного счета организации); отношение к воинской обязанности, сведения о воинском учёте; сведения об образовании; данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных.
Категории субъектов персональных данных: работники, состоящие в трудовых отношениях с Оператором, уволенные работники, родственники работников.
Правовые основания:
Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации; обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение; распространение.
Способы обработки: смешанная; с передачей данных по внутренней сети юридического лица; с передачей по сети «Интернет».
Сроки обработки персональных данных: персональные данные, содержащиеся в документах, законченных делопроизводством до 1 января 2003 года, хранятся 75 лет; законченных делопроизводством после 1 января 2003 года, хранятся 50 лет (приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», далее — приказ Росархива № 236). - Обучения и повышения квалификации работников Оператора. Категории персональных данных:
Персональные данные: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчётного счета организации); отношение к воинской обязанности, сведения о воинском учёте.
Категории субъектов персональных данных: работники, состоящие в трудовых отношениях с Оператором.
Правовые основания:
Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение; распространение.
Способы обработки: смешанная; с передачей данных по внутренней сети юридического лица; с передачей по сети «Интернет».
Сроки обработки персональных данных: персональные данные, содержащиеся в документах, законченных делопроизводством до 1 января 2003 года, хранятся 75 лет; законченных делопроизводством после 1 января 2003 года, хранятся 50 лет (приказ Росархива № 236). - Обеспечения охраны труда, в целях сохранения жизни и здоровья работников Оператора в процессе трудовой деятельности, в целях выявления нарушений требований в сфере охраны здоровья работников и наличия медицинских противопоказаний к работе, а также в целях выполнения требований законодательства по расследованию и учёту несчастных случаев, происшедших с работниками и иными лицами.
Категории персональных данных:
Персональные данные: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчётного счета; номер лицевого счета; профессия; должность; сведения о трудовойдеятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчётного счета организации); отношение к воинской обязанности, сведения о воинском учёте.
Специальные категории персональных данных: сведения о состоянии здоровья.
Категории субъектов персональных данных: работники; иные категории субъектов персональных данных, персональные данные которых обрабатываются; заявители.
Правовые основания: Трудовой кодекс Российской Федерации, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение; распространение.
Способы обработки: смешанная; с передачей данных по внутренней сети юридического лица; с передачей по сети «Интернет».
Сроки обработки персональных данных: персональные данные, содержащиеся в журналах, книгах учёта: а) инструктажа по охране труда (вводного и на рабочем месте) — хранятся 45 лет; б) профилактических работ по охране труда, проверки знаний по охране труда — хранятся 5 лет (приказ Росархива № 236). - Распространения информации о деятельности Оператора в средствах массовой информации.
Категории персональных данных:
Персональные данные: фамилия, имя, отчество.
Категории субъектов персональных данных: работники, состоящие в трудовых отношениях с Оператором; посетители сайта.
Правовые основания: Федеральный закон от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; хранение; извлечение; использование; блокирование; удаление; уничтожение; распространение.
Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети «Интернет». - Поиска и отбора кандидатов на замещение вакантных должностей Оператора.
Категории персональных данных:
Персональные данные: фамилия, имя, отчество; адрес электронной почты; номер телефона; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчётного счета организации); отношение к воинской обязанности, сведения о воинском учёте; сведения об образовании.
Категории субъектов персональных данных: соискатели.
Правовые основания: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; хранение; уточнение (обновление, изменение); использование; удаление; уничтожение.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети «Интернет».
Сроки обработки персональных данных: до достижения цели обработки персональных данных. - Исполнения обязанностей по заключению договоров, государственных контрактов, направлению запроса ценовых предложений.
Категории персональных данных:
Персональные данные: фамилия, имя, отчество; адрес электронной почты; номер телефона; должность.
Категории субъектов персональных данных: контрагенты, представители контрагентов.
Правовые основания: Гражданский кодекс Российской Федерации, Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ и услуг для обеспечения государственных и муниципальных нужд», обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети «Интернет».
Сроки обработки персональных данных: 5 лет после истечения срока действия договора (государственного контракта). - Рассмотрения обращений граждан, объединений граждан и юридических лиц.
Категории персональных данных:
Персональные данные: фамилия, имя, отчество; год рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; профессия; должность.
Категории субъектов персональных данных: граждане, представители граждан, объединений граждан и юридических лиц.
Правовые основания: Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»,обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; обезличивание; блокирование; удаление; уничтожение.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети «Интернет».
Сроки обработки персональных данных: сроки обработки и прекращения обработки персональных данных устанавливаются в соответствии с действующим законодательством. - Предоставления информации в федеральные органы государственной власти и подведомственные им организации (в рамках возбужденных административных производств, судебных запросов, вручения наградных материалов), исполнительные органы Ульяновской области и подведомственные организации.
Категории персональных данных:
Персональные данные: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; семейное положение; социальное положение; имущественное положение; доходы; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчётного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.
Категории субъектов персональных данных: работники, состоящие в трудовых отношениях с Оператором и члены их семей, граждане, заявители.
Правовые основания: Трудовой кодекс Российской Федерации; обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; обезличивание; блокирование; удаление; уничтожение.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети «Интернет».
Сроки обработки персональных данных: в соответствии с пунктами 1-2 настоящего раздела.
3. Порядок, условия и принципы обработки персональных данных.
Оператор использует смешанный способ обработки персональных данных. Обработка персональных данных с использованием средств автоматизации происходит в информационных системах персональных данных. Передача персональных данных производится по защищённым каналам связи. Обработка специальных категорий персональных данных производится в соответствии с трудовым законодательством, законодательством о государственной социальной помощи, пенсионным законодательством, а также законодательством о миграционном учёте иностранных граждан и лиц без гражданства.
Оператор не производит трансграничную передачу персональных данных.
Передача персональных данных при их обработке в автоматизированных информационных системах осуществляется как с использованием локальной сети Оператора, так и по сети «Интернет».
Базы данных информации, содержащих персональные данные, размещены на технических средствах Оператора по адресу: Российская Федерация, Ульяновская область, г. Ульяновск, ул. Спасская, дом 3.
Оператор в своей деятельности обеспечивает соблюдение следующих принципов:
1) обработка персональных данных осуществляется на законной и справедливой основе;
2) обработка персональных данных осуществляется в целях, предусмотренных в разделе 3 Настоящей Политики;
3) не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
4) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5) при обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных, указанным в разделе 3 настоящей Политики. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных;
6) обработке подлежат только персональные данные, которые отвечают целям их обработки;
7) содержание и объем персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к целям обработки персональных данных;
8) хранение персональных данных осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
9) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Документы, подтверждающие получение согласия, могут быть предоставлены в том числе в форме электронного документа;
10) согласие на обработку персональных данных может быть отозвано субъектом персональных данных;
11) обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей;
12) оператор обеспечивает конфиденциальность персональных данных. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом;
13) обработка персональных данных работников Оператора, разрешённых для распространения (размещение информации в средствах массовой информации), допускается только при наличии согласия, в котором определён перечень персональных данных по каждой категории персональных данных, указанной в ст. 10.1 Федерального закона № 152-ФЗ.
4. Меры по обеспечению безопасности персональных данных
при их обработке.
Оператор при обработке персональных данных принимает правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, передачу, распространения, а также от иных неправомерных действий в отношении них.
Безопасность персональных данных обеспечивается за счёт реализации следующих мер:
1) назначение должностного лица, ответственного за организацию обработки персональных данных;
2) назначение работников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных;
3) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, а также установленными локальными актами Оператора;
4) принятие письменных обязательств о неразглашении персональных данных работниками Оператора, непосредственно осуществляющих обработку персональных данных, их ознакомление под роспись с нормативными и организационно-распорядительными документами, в том числе с требованиями по обеспечению безопасности персональных данных, локальными актами в отношении обработки персональных данных;
5) определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
6) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных;
7) проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
8) проведение мероприятий по выявлению возможных фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
9) предусмотрение мер по восстановлению из резервных копий персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учёта всех действий, совершаемых с персональными данными в информационных системах персональных данных;
11) осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищённости информационных систем персональных данных;
12) осуществление обмена сведениями между информационными системами персональных данных с использованием защищённых каналов связи.
5. Права субъектов персональных данных.
Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.