Политика министерства в отношении обработки персональных данных

Введена в действие приказом министерства
по физической культуре и спорту Ростовской области
от 25.06.2019 № 207

ПОЛИТИКА
обработки персональных данных в министерстве
по физической культуре и спорту Ростовской области

1. Общие положения

Настоящая Политика обработки персональных данных в министерстве по физической культуре и спорту Ростовской области (далее – Политика):

определяет основные принципы, цели и способы обработки персональных данных, права субъектов персональных данных, а также реализуемые министерством по физической культуре и спорту Ростовской области (далее – министерство) требования к защите персональных данных;

разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных;

разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников, граждан;

служит основой для разработки локальных нормативных актов, регламентирующих в министерстве вопросы обработки персональных данных работников министерства и других субъектов персональных данных;

предназначена для работников министерства, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности министерства при обработке персональных данных.

2. Источники нормативного правового регулирования вопросов обработки персональных данных

Политика министерства в области обработки персональных данных определяется на основании следующих нормативных правовых актов Российской Федерации:

Конституция Российской Федерации;

Трудовой кодекс Российской Федерации;

Гражданский кодекс Российской Федерации;

Налоговый кодекс Российской Федерации;

Федеральный закон от 27.07.2006 № 152 ФЗ «О персональных данных»;

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора;

иные действующие правовые акты.

В целях реализации положений Политики в министерстве разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований министерства;

положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных министерства (далее – Положение);

иные локальные правовые акты министерства, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3. Основные термины и понятия, используемые в локальных документах министерства, принимаемых по вопросу обработки персональных данных

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, перечнем персональных данных, обрабатываемых в министерстве, локальными актами министерства.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональных данных каким-либо иным способом.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному кругу.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – информационная система, представляющая собой совокупность содержащихся в базе данных персональных данных и их обработку, информационных технологий и технических средств.

Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Общедоступные персональные данные – персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Общие принципы обработки персональных данных

Обработка персональных данных в министерстве осуществляется на основе следующих принципов:

законности и справедливости обработки персональных данных;

законности целей и способов обработки персональных данных и добросовестности;

соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям министерства;

соответствия содержания и объема обрабатываемых персональных данных целям обработки персональных данных;

достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения баз данных, содержащих персональных данных, обработка которых осуществляется в целях, несовместимых между собой.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Обрабатываемые персональных данных подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи министерству своих персональных данных.

Держателем персональных данных является министерство, которому субъект персональных данных передает во владение свои персональные данные. Министерство выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе деятельности министерства.

Министерство при обработке персональных данных обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Мероприятия по защите персональных данных определяются Положением, приказами, инструкциями и другими внутренними документами министерства.

Для защиты персональных данных в министерстве применяются следующие принципы и правила:

ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к информации, содержащей персональных данных;

строгое избирательное и обоснованное распределение документов и информации между работниками;

рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

знание работниками требований нормативно-методических документов по защите персональных данных;

распределение персональной ответственности между работниками, участвующими в обработке персональных данных, за выполнение требований по обеспечению безопасности персональных данных;

установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности персональных данных при работе с конфиденциальными документами и базами данных;

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка персональных данных и находится соответствующая вычислительная техника;

организация порядка уничтожения персональных данных;

своевременное выявление нарушений требований разрешительной системы доступа;

разъяснительная работа с работниками министерства по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

регулярное обучение работников по вопросам, связанным с обеспечением безопасности персональных данных;

ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся персональных данных;

создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией;

резервирование защищаемых данных (создание резервных копий).

Цели обработки персональных данных:

выполнение требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации;

реализация министерством государственных функций и предоставление государственных услуг;

иные законные цели.

Министерство осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

Обработка персональных данных в министерстве осуществляется следующими способами:

неавтоматизированная обработка;

автоматизированная обработка с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

смешанная обработка.

Субъекты персональных данных имеют право на:

полную информацию об их персональных данных, обрабатываемых в министерстве;

доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбор;

уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

отзыв согласия на обработку персональных данных;

принятие предусмотренных законом мер по защите своих прав;

обжалование действия или бездействия министерства, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

осуществление иных прав, предусмотренных законодательством Российской Федерации.

Трансграничная передача персональных данных министерством не осуществляется.