Политика министерства в отношении обработки персональных данных
Введена в действие приказом министерства
по физической культуре и спорту Ростовской области
от 25.06.2019 № 207
ПОЛИТИКА
обработки персональных данных в министерстве
по физической культуре и спорту Ростовской области
1. Общие положения
Настоящая Политика обработки персональных данных в министерстве по физической культуре и спорту Ростовской области (далее – Политика):
определяет основные принципы, цели и способы обработки персональных данных, права субъектов персональных данных, а также реализуемые министерством по физической культуре и спорту Ростовской области (далее – министерство) требования к защите персональных данных;
разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных;
разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников, граждан;
служит основой для разработки локальных нормативных актов, регламентирующих в министерстве вопросы обработки персональных данных работников министерства и других субъектов персональных данных;
предназначена для работников министерства, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности министерства при обработке персональных данных.
2. Источники нормативного правового регулирования вопросов обработки персональных данных
Политика министерства в области обработки персональных данных определяется на основании следующих нормативных правовых актов Российской Федерации:
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 27.07.2006 № 152 ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора;
иные действующие правовые акты.
В целях реализации положений Политики в министерстве разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований министерства;
положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных министерства (далее – Положение);
иные локальные правовые акты министерства, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.
3. Основные термины и понятия, используемые в локальных документах министерства, принимаемых по вопросу обработки персональных данных
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, перечнем персональных данных, обрабатываемых в министерстве, локальными актами министерства.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональных данных каким-либо иным способом.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному кругу.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – информационная система, представляющая собой совокупность содержащихся в базе данных персональных данных и их обработку, информационных технологий и технических средств.
Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Общедоступные персональные данные – персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Общие принципы обработки персональных данных
Обработка персональных данных в министерстве осуществляется на основе следующих принципов:
законности и справедливости обработки персональных данных;
законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям министерства;
соответствия содержания и объема обрабатываемых персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения баз данных, содержащих персональных данных, обработка которых осуществляется в целях, несовместимых между собой.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
Обрабатываемые персональных данных подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи министерству своих персональных данных.
Держателем персональных данных является министерство, которому субъект персональных данных передает во владение свои персональные данные. Министерство выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе деятельности министерства.
Министерство при обработке персональных данных обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Мероприятия по защите персональных данных определяются Положением, приказами, инструкциями и другими внутренними документами министерства.
Для защиты персональных данных в министерстве применяются следующие принципы и правила:
ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к информации, содержащей персональных данных;
строгое избирательное и обоснованное распределение документов и информации между работниками;
рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
знание работниками требований нормативно-методических документов по защите персональных данных;
распределение персональной ответственности между работниками, участвующими в обработке персональных данных, за выполнение требований по обеспечению безопасности персональных данных;
установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности персональных данных при работе с конфиденциальными документами и базами данных;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка персональных данных и находится соответствующая вычислительная техника;
организация порядка уничтожения персональных данных;
своевременное выявление нарушений требований разрешительной системы доступа;
разъяснительная работа с работниками министерства по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
регулярное обучение работников по вопросам, связанным с обеспечением безопасности персональных данных;
ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся персональных данных;
создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией;
резервирование защищаемых данных (создание резервных копий).
Цели обработки персональных данных:
выполнение требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации;
реализация министерством государственных функций и предоставление государственных услуг;
иные законные цели.
Министерство осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
Обработка персональных данных в министерстве осуществляется следующими способами:
неавтоматизированная обработка;
автоматизированная обработка с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка.
Субъекты персональных данных имеют право на:
полную информацию об их персональных данных, обрабатываемых в министерстве;
доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбор;
уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отзыв согласия на обработку персональных данных;
принятие предусмотренных законом мер по защите своих прав;
обжалование действия или бездействия министерства, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
осуществление иных прав, предусмотренных законодательством Российской Федерации.
Трансграничная передача персональных данных министерством не осуществляется.