Политика министерства в отношении обработки персональных данных

Введена в действие приказом министерства
по физической культуре и спорту Ростовской области
от 07.10.2016 № 240

ПОЛИТИКА
обработки персональных данных в министерстве
по физической культуре и спорту Ростовской области

1. Общие положения
1.1. Настоящая Политика обработки персональных данных в министерстве по физической культуре и спорту Ростовской области (далее – Политика):
- определяет основные принципы, цели и способы обработки персональных данных, права субъектов персональных данных, а также реализуемые министерством по физической культуре и спорту Ростовской области (далее – министерство) требования к защите
персональных данных;
- разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных;
- разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты ПДн сотрудников, граждан;
- служит основой для разработки локальных нормативных актов, регламентирующих в министерстве вопросы обработки персональных данных работников министерства и других субъектов персональных данных;
- предназначена для сотрудников министерства, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, озволяющим
определить концептуальные основы деятельности Министерства при обработке персональных данных.

2. Источники нормативного правового регулирования вопросов обработки персональных данных
2.1.Политика Министерства в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 г. № 152 ФЗ «О персональных данных»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;
- Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;
- нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора;
- иные действующие правовые акты.
2.2. В целях реализации положений Политики в министерстве разрабатываются соответствующие локальные нормативные акты и иные
документы, в том числе:
- Положение о порядке организации и проведении работ по обработке персональных данных в информационных системах персональных данных министерства;
- Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных министерства;
- иные локальные нормативные акты министерства, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3. Основные термины и понятия, используемые в локальных документах Министерства, принимаемых по вопросу обработки персональных данных
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в министерстве, локальными актами министерства.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному кругу.
Использование персональных данных – действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.
Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных – информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Общедоступные персональные данные – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Общие принципы обработки персональных данных
4.1 Обработка ПДн в министерстве осуществляется на основе следующих принципов:
4.1.1 Законности и справедливости обработки ПДн.
4.1.2 Законности целей и способов обработки ПДн и добросовестности.
4.1.3 Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Министерства.
4.1.4 Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.
4.1.5 Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.
4.1.6 Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
4.1.7 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
4.1.8 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
4.1.9 Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.1.10 Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи министерству своих ПДн.
4.1.11 Держателем ПДн является министерство, которому субъект ПДн передает во владение свои ПДн. Министерство выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
4.1.12 Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности министерства.
4.1.13 Министерство при обработке ПДн обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.
4.1.14 Мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами министерства.
4.2 Для защиты ПДн в министерстве применяются следующие принципы и правила:
4.2.1 Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.
4.2.2 Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.
4.2.3 Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации.
4.2.4 Знание сотрудниками требований нормативно-методических документов по защите ПДн.
4.2.5 Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
4.2.6 Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.
4.2.7 Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
4.2.8 Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.
4.2.9 Организация порядка уничтожения персональных данных.
4.2.10 Своевременное выявление нарушений требований разрешительной системы доступа.
4.2.11 Воспитательная и разъяснительная работа с сотрудниками отделов по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
4.2.12 Регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн.
4.2.13 Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
4.2.14 Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
4.2.15 Резервирование защищаемых данных (создание резервных копий).
4.3 Цели обработки персональных данных:
4.3.1. Регулирование трудовых отношений с работниками министерства.
4.3.2. Реализация министерством государственных функций и предоставление государственных услуг.
4.3.3. Иные законные цели.
4.4 Перечень действий с персональными данными и способы их обработки.
4.4.1 Министерство осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
4.4.2 Обработка персональных данных в министерстве осуществляется следующими способами:
- неавтоматизированная обработка;
- автоматизированная обработка с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка.
4.5 Права субъектов персональных данных.
4.5.1 Субъекты персональных данных имеют право на:
полную информацию об их персональных данных, обрабатываемых в министерстве;
- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбор;
- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку персональных данных;
- принятие предусмотренных законом мер по защите своих прав;
- обжалование действия или бездействия министерства, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.