Размер шрифта: A A A
Цвет сайта: A A A A

Политика обработки персональных данных

ПОЛИТИКА
обработки персональных данных департамента потребительской сферы Краснодарского края 


1. Общие положения

1.1. Политика обработки персональных данных департамента потребительской сферы Краснодарского края (далее – Политика):
1) является основополагающим внутренним документом департамента потребительской сферы Краснодарского края (далее – департамент), регулирующим вопросы обработки персональных данных;
2) разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты персональных данных (далее – ПДн) сотрудников и граждан;
3) раскрывает основные категории персональных данных, обрабатываемых в департаменте, цели, способы и принципы обработки ПДн, права и обязанности департамента при обработке ПДн, права субъектов ПДн, а также перечень мер, применяемых департаментом в целях обеспечения безопасности ПДн при их обработке.
1.2. Настоящей Политикой в своей работе должны руководствоваться все сотрудники департамента, осуществляющие обработку ПДн.
1.3. Ознакомление сотрудников департамента с Политикой осуществляет ответственный за обеспечение безопасности и обработку ПДн департамента под роспись (приложении № 2).
1.3. Внесение изменений в настоящую Политику осуществляется на периодической и внеплановой основе:
1) пересмотр положений настоящей Политики должен осуществляться не реже одного раза в 24 месяца;
2) внеплановое внесение изменений в настоящую Политику может производиться в случае изменения законодательства и иных нормативных актов в области обработки и обеспечения безопасности ПДн, либо при существенном изменении процессов обработки ПДн.
1.4. Ответственным за внесение изменений в настоящую Политику является ответственный за обеспечение безопасности и обработку ПДн департамента (приложение № 1).
1.5. Контроль за выполнением требований данной Политики осуществляет ответственный за обеспечение безопасности и обработку ПДн. 


2. Основные термины и понятия, используемые в локальных документах департамента, принимаемых по вопросу обработки персональных данных 


2.1. ПДн – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в департаменте, локальными актами департамента.
2.2. Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.3. Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
2.4. Предоставление ПДн – действия, направленные на раскрытие ПДн определенному кругу.
2.5. Использование ПДн – действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом, затрагивающих права и свободы субъекта ПДн или других лиц.
2.6. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
2.7. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
2.8. Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
2.9. Информационная система ПДн – информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
2.10. Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
2.11. Общедоступные ПДн – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2.12. Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Источники нормативного правового регулирования вопросов обработки персональных данных 


3.1. Политика департамента в области обработки ПДн определяется на основании следующих нормативных правовых актов Российской Федерации:
1) Конституция Российской Федерации;
2) Трудовой кодекс Российской Федерации;
3) Гражданский кодекс Российской Федерации;
4) Налоговый кодекс Российской Федерации;
5) Уголовный кодекс Российской Федерации;
6) Федеральный закон от 27 июля 2006 года № 152‑ФЗ «О персональных данных»;
7) Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
8) Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
9) постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
10) указ Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
11) постановление Правительства Российской Федерации от 06 июня 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
12) постановление Правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
13) указ Президента Российской Федерации от 06 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера»;
14) нормативные и методические документы федеральной службы безопасности России, федеральной службы технического и экспортного контроля России, Роскомнадзора.
3.1. Во исполнение настоящей Политики в департаменте приказами утверждаются следующие локальные нормативные правовые акты:
1) инструкция администратора информационной безопасности информационных систем;
2) инструкция администратора информационных систем;
3) инструкция по организации антивирусной защиты информационных систем;
4) перечень ПДн, обрабатываемых в информационных системах ПДн департамента;
5) план мероприятий по защите ПДн;
6) положение о порядке обработки и обеспечения безопасности ПДн, обрабатываемых в информационных системах ПДн департамента;
7) акты классификации информационных систем департамента;
8) модель угроз и нарушителя безопасности информации департамента;
9) иные локальные документы департамента, принимаемые во исполнение требований, действующих нормативных правовых актов Российской Федерации в области обработки ПДн.

4. Общие условия обработки персональных данных 


4.1. Обработка ПДн в департаменте осуществляется на основе следующих принципов:
1) законности и справедливости обработки ПДн;
2) законности целей и способов обработки ПДн и добросовестности;
3) соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям департамента;
4) соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн;
5) достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
6) недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
7) хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки;
8) обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
9) субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи департаменту своих ПДн;
10) держателем ПДн является департамента, которому субъект ПДн передает во владение свои ПДн. Департамент выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством;
11) комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности департамента;
12) департамент при обработке ПДн обязана принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в информационной системе ПДн;
13) мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами департамента.
4.2. Для защиты ПДн в департаменте применяются следующие принципы и правила:
1) ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн;
2) строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
3) рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
4) знание сотрудниками требований нормативно-методических документов по защите ПДн;
5) распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн;
6) установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных;
7) определение угроз безопасности ПДн при их обработке в информационных системах ПДн;
8) исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника;
9) организация порядка уничтожения ПДн;
10) своевременное выявление нарушений требований разрешительной системы доступа;
11) разъяснительная работа с сотрудниками отделов по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
12) регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн;
13) ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн;
14) создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией;
15) резервирование защищаемых данных (создание резервных копий).
4.3. Цели обработки ПДн:
1) ведение кадрового и бухгалтерского учета сотрудников департамента;
2) обеспечение контролируемого пребывания сотрудников и посетителей в кабинетах занимаемых департаментом;
3) обеспечение взаимодействия сотрудников департамента и ведения отчетной документации;
4.4. Правовое основание обработки ПДн:
1) Конституция Российской Федерации;
2) Трудовой кодекс Российской Федерации;
3) Гражданский кодекс Российской Федерации;
4) Налоговый кодекс Российской Федерации;
5) Уголовный кодекс Российской Федерации;
6) Федеральный закон Российской Федерации от 27июля 2006 года № 152-ФЗ «О персональных данных»;
7) Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
8) Федеральный закон Российской Федерации от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
9) указ Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
10) указ Президента Российской Федерации от 06 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера».