ПОЛОЖЕНИЕ
об обработке персональных данных в Агентстве по регулированию цен и тарифов Ульяновской области
1. Общие положения
1.1. Настоящее Положение об обработке персональных данных (далее – Положение) определяет порядок получения, хранения, обработки, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в Агентстве по регулированию цен и тарифов Ульяновской области (далее – Оператор) в соответствии с законодательством Российской Федерации.
1.2. Настоящее Положение разработано в соответствии с:
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.3. Для целей настоящего Положения используются следующие основные понятия:
использование персональных данных – действия с персональными данными, совершаемые сотрудниками Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер обеспечения конфиденциальности информации о конкретном субъекте персональных данных.
1.4. Остальные понятия и термины используются в настоящем Положении в том значении, которое придаёт им Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Получение, обработка и защита персональных данных
2.1. Порядок получения персональных данных (далее – ПДн).
2.1.1. Все ПДн следует получать лично у субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн и последствиях отказа субъекта ПДн дать письменное согласие на их получение.
2.1.2. Письменное согласие субъекта ПДн на обработку его ПДн должно включать в себя:
а) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
б) фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
в) наименование и адрес Оператора;
г) цель обработки ПДн;
д) перечень ПДн, на обработку которых дается согласие субъекта ПДн;
е) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;
ж) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;
з) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
и) подпись субъекта ПДн.
2.1.3. Оператор не имеет права получать и обрабатывать ПДн субъекта о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности.
2.1.4. Сотрудники Оператора имеют право получать только те ПДн, которые необходимы им для выполнения своих служебных обязанностей.
2.1.5. Сотрудники Оператора, получающие ПДн, обязаны соблюдать установленный в отношении этих ПДн режим конфиденциальности.
2.2. Порядок обработки ПДн.
2.2.1. Обработка ПДн может осуществляться только для достижения заявленных целей их обработки.
2.2.2. При определении объёма и содержания, обрабатываемых ПДн, Оператор должен руководствоваться Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными федеральными законами в области защиты ПДн, принципом соответствия объёма и содержания обрабатываемых ПДн заявленным целям их обработки.
2.2.3. Оператор не имеет права объединять в одной базе данных ПДн, цели обработки которых не совместимы.
2.2.4. При принятии решений, затрагивающих интересы субъекта ПДн, Оператор не имеет права основываться на результатах исключительно автоматизированной обработки его ПДн, кроме случаев, наличии согласия в письменной форме субъекта ПДн на принятие таких решений и случаев, предусмотренных федеральными законами.
2.2.5. Съёмные электронные носители, на которые копируются ПДн, должны быть промаркированы и учтены в Журнале регистрации, учёта и выдачи сменных носителей ПДн.
2.3. Порядок защиты ПДн.
2.3.1. Защита ПДн субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена Оператором в порядке, установленном законодательством в области защиты ПДн.
2.3.2. Оператор самостоятельно или с привлечением имеющих соответствующие лицензии организаций:
а) назначает лицо, ответственное за организацию обработки ПДн;
б) назначает постоянно действующую комиссию по проведению мероприятий по защите ПДн;
в) определяет и поддерживает в актуальном состоянии перечень обрабатываемых ПДн и технических средств, применяемых при их обработке;
г) составляет и поддерживает в актуальном состоянии модель угроз безопасности обрабатываемых ПДн.;
д) использует информационную систему персональных данных (далее – ИСПДн) и определяет требования к уровням защищённости обрабатываемых в них ПДн в соответствии с действующим законодательством;
е) назначает ответственных администраторов ИСПДн и администраторов информационной безопасности ИСПДн;
ж) устанавливает правила доступа к ИСПДн и обрабатываемым ими ПДн;
з) разрабатывает и реализует систему организационных и технических мер по обеспечению безопасности ПДн, обрабатываемых в ИСПДн;
и) осуществляет учёт машинных носителей ПДн;
к) обеспечивает регистрацию действий с ПДн, обрабатываемыми в ИСПДн;
л) предпринимает меры по своевременному выявлению и предотвращению попыток несанкционированного доступа к находящимся в его распоряжении ПДн;
м) осуществляет контроль эффективности принимаемых им мер по обеспечению безопасности ПДн и уровня защищённости ИСПДн.
2.3.3. Оператор обязан при обработке ПДн:
принимать необходимые организационные и технические меры для защиты ПДн от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий;
соблюдать порядок получения, учёта и хранения ПДн;
применять технические средства охраны и сигнализации;
взять со всех работников, связанных с получением, обработкой и защитой ПДн, обязательство о неразглашении ПДн;
привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту ПДн;
запретить допуск к ПДн сотрудников Оператора, не включённых в Перечень лиц, допущенных к обработке ПДн, обрабатываемых Оператором.
2.3.4. Защита доступа к электронной базе данных, содержащей ПДн субъектов ПДн, должна обеспечиваться путем использования сертифицированных программных и программно-аппаратных средств защиты информации, предотвращающих несанкционированный доступ третьих лиц к ПДн.
2.3.5. Оператор обязуется вырабатывать и внедрять меры защиты ПДн.
3. Хранение персональных данных
3.1. Сведения о субъектах ПДн на бумажных носителях должны храниться Оператором в специально оборудованных шкафах и сейфах, которые запираются и опечатываются.
3.2. Обязанности по хранению сведений о субъектах ПДн, заполнению, хранению и выдаче документов, содержащих ПДн, возлагаются на Ответственного за организацию обработки ПДн.
3.3. В процессе хранения ПДн необходимо обеспечивать контроль за достоверностью и полнотой ПДн, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
3.4. Хранение ПДн должно осуществляться не дольше, чем это необходимо для достижения целей их обработки, либо чем это определено федеральным законом, принятым в соответствии с ним нормативным актом, договором или иным документом, являющимся основанием для обработки и хранения ПДн.
4. Передача ПДн
4.1. Трансграничная передача ПДн Оператором не осуществляется.
4.2. Передача находящихся в распоряжении Оператора ПДн в пределах Российской Федерации возможна только при выполнении одного или нескольких из следующих условий:
4.2.1. Имеется письменное согласие субъекта ПДн на передачу его ПДн третьему лицу, включающее наименование или фамилию, имя, отчество и адрес третьего лица, цели, сроки и способы обработки третьим лицом ПДн;
4.2.2. Третье лицо является законным представителем субъекта ПДн;
4.2.3. Передаваемые ПДн являются общедоступными (доступ неограниченному кругу лиц к ПДн предоставлен субъектом ПДн либо по его просьбе);
4.2.4. Передача ПДн третьему лицу необходима для исполнения договора, одной из сторон которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
4.2.5. Передача ПДн третьему лицу производится на основании и в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
4.2.6. Имеются иные, предусмотренные законодательством, основания для передачи ПДн третьему лицу.
4.3. Передача ПДн третьему лицу, за исключением случаев, предусмотренных пунктом 4.2.2 и пунктом 4.2.5 настоящего Положения, осуществляется в рамках заключённого между Оператором и третьим лицом договора, который в обязательном порядке включает:
а) цели и сроки обработки третьим лицом передаваемых ПДн;
б) перечень действий с передаваемыми ПДн, которые могут осуществляться третьим лицом, а также способы их осуществления;
в) обязанность третьего лица соблюдать конфиденциальность передаваемых ПДн и обеспечивать их безопасность при обработке, в том числе предпринимать меры по обеспечению безопасности ПДн, предусмотренные статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (кроме установленных законодательством случаев, когда обеспечение конфиденциальности ПДн не требуется).
4.4. В случаях, когда ПДн передаются третьему лицу на основании согласия субъекта ПДн, цели, сроки и способы обработки ПДн, включаемые в договор с третьим лицом, должны соответствовать целям, срокам и способам обработки ПДн, указанным в согласии субъекта ПДн.
4.5. Требования безопасности, предъявляемые к процедурам передачи ПДн третьему лицу, могут включаться в условия соответствующего договора или устанавливаться иным соглашением между Оператором и третьим лицом. В тех случаях, когда процедуры передачи ПДн и (или) предъявляемые к ним требования безопасности документально не определены, они определяются лицами, ответственными за обеспечение безопасности ПДн Оператора и третьего лица совместно.
4.6. На передачу ПДн третьему лицу, осуществляемую на основании и в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе на передачу ПДн по запросу третьего лица, полномочия которого на получение соответствующих ПДн установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (органов следствия, органов государственной безопасности и т.п.), требования настоящего раздела не распространяются.
5. Уничтожение ПДн
5.1. При необходимости уничтожения ПДн Оператор должен руководствоваться следующими требованиями:
5.1.1. Уничтожение ПДн осуществляется комиссией по проведению мероприятий по уничтожению ПДн. После уничтожения ПДн составляется соответствующий акт.
5.1.2. Бумажные носители ПДн должны уничтожаться при помощи специального оборудования (измельчителя бумаги).
5.1.3. ПДн, представленные в электронном виде, должны уничтожаться с использованием специализированного программного обеспечения, гарантирующего невозможность восстановления удалённых данных, либо путем уничтожения физического носителя содержащего такие данные.
6. Внутренние проверки состояния защищённости ИСПДн
6.1. Проверка состояния защищённости ПДн, обрабатываемых Оператором осуществляется комиссией по проведению мероприятий по защите ПДн.
6.2. Проверка состояния защищённости осуществляется с целью определения соответствия нормативных, организационных, практических и технических мероприятий, реализуемых Оператором, требованиям законов и иных нормативных правовых актов Российской Федерации в области информационной безопасности и защиты ПДн.
6.3. Составляется План проведения проверок защищенности ПДн, обрабатываемых Оператором, включающий в себя:
дату и место проведения проверки;
цель проверки;
краткие сведения об объектах и способах проверки.
6.4. Внутренняя проверка комиссии по проведению мероприятий по защите ПДн завершается подведением итогов (обобщением) результатов проверки и составлением акта о результате проверки защищенности ПДн, обрабатываемых Оператором.
6.5. Акт должен содержать:
дату, время и место составления акта;
дату и место проведения проверки;
сведения о результатах проверки, в том числе о выявленных нарушениях и их характере;
достоверное и обоснованное изложение состояния защищённости информационной системы и ресурсов, выявленных недостатков и нарушений со ссылками на соответствующие документы и факты, выводы и предложения по их устранению с указанием конкретных сроков.
7. Обязанности субъекта ПДн и Оператора
7.1. В целях обеспечения достоверности ПДн субъект ПДн обязан:
предоставлять Оператору полные и достоверные данные о себе;
в случае изменения своих ПДн сообщать данную информацию Оператору;
7.2. Оператор обязан:
осуществлять защиту ПДн;
вести Журнал учета обращений субъектов ПДн по вопросам обработки их ПДн;
обеспечивать хранение документации, содержащей ПДн субъектов ПДн, при этом ПДн не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
8. Права субъекта ПДн в целях защиты персональных данных
8.1. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
подтверждение факта обработки ПДн Оператором;
правовые основания и цели обработки ПДн;
цели и применяемые Оператором способы обработки ПДн;
наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
8.3. Субъект ПДн имеет право на определение представителей для защиты своих законных интересов.
8.4. Субъект ПДн имеет право требовать исключить или исправить неверные или неполные ПДн, а также ПДн, обрабатываемые с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
8.5. Субъект ПДн имеет право требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта ПДн, обо всех произведённых в них исключениях, исправлениях или дополнениях.
8.6. Субъект ПДн имеет право на обжалование в судебном порядке любых неправомерных действий или бездействии Оператора при обработке и защите его ПДн.
9. Ответственность за нарушение норм, регулирующих получение, обработку и защиту ПДн
Лица, виновные в нарушении требований законодательства, регулирующего обработку ПДн, несут ответственность предусмотренную законодательством Российской Федерации.