Утверждена
приказом Контрольно-счетной
палаты Вологодской области
от 28 мая 2018 года №45
(приложение 1)
Политика Контрольно-счетной палаты Вологодской области в отношении обработки и защиты персональных данных
1. Общие положения
1.1. Настоящая политика (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и является основополагающим документом Контрольно-счетной палаты Вологодской области (далее - Оператор), определяющим ключевые направления ее деятельности в области обработки и защиты персональных данных.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в статье 3 Федерального закона «О персональных данных».
2. Принципы и условия обработки персональных данных
2.1. Принципы обработки персональных данных:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данных, обработка которых осуществляется в целях, не совместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Категории субъектов персональных данных:
лицо, замещающее государственную должность и государственные гражданские служащие - физические лица, связанные с Оператором трудовыми отношениями;
члены семьи, близкие родственники лица, замещающего государственную должность и государственных гражданских служащих Оператора;
кандидаты на вакантные должности и включение в кадровый резерв - физические лица, претендующие на замещение вакантных должностей и включение в кадровый резерв Оператора;
контрагенты - физические лица, с которыми у Оператора заключены договоры гражданско-правового характера;
граждане, записавшиеся на личный прием, подавшие обращение Оператору;
иные субъекты, персональные данные которых обрабатываются Оператором в целях реализации полномочий по осуществлению внешнего государственного финансового контроля.
2.3. Условия обработки персональных данных
2.3.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных» и настоящей Политикой. Обработка персональных данных допускается в следующих случаях:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством на Оператора полномочий;
обработка персональных данных необходима для исполнения договора (контракта), стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора (контракта) по инициативе субъекта персональных данных или договора (контракта), по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных необходима для осуществления прав и законных интересов Оператора либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
2.3.2. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных» и настоящей Политикой, на основании заключаемого с этим лицом договора (контракта), либо путем принятия Оператором соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и пунктом 2.1 настоящей Политики. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
2.4. Права субъекта персональных данных
2.4.1. Субъект персональных данных вправе:
получать информацию, касающуюся обработки его персональных данных. Состав информации определяется положениями Федерального закона «О персональных данных». Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.
2.5. Права и обязанности Оператора при сборе персональных данных
2.5.1. Оператор вправе:
предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных;
продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных Федеральным законом «О персональных данных»;
мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации;
по мотивированному запросу исключительно для выполнения возложенных на Контрольно-счетную палату области полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:
- в судебные органы в связи с осуществлением правосудия;
- в органы государственной безопасности;
- в органы прокуратуры;
- в органы полиции;
- в следственные органы;
- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
2.5.2. Обязанности Оператора:
при обработке персональных данных соблюдать безопасность и конфиденциальность обрабатываемых персональных данных;
выполнять иные требования, предусмотренные законодательством Российской Федерации в области защиты персональных данных.
3. Сведения о реализуемых требованиях к защите персональных данных
3.1. Оператор реализует следующие требования законодательства в области защиты персональных данных:
требования о соблюдении конфиденциальности персональных данных;
требования об обеспечении реализации субъектом персональных данных своих прав (в т.ч. на доступ к информации);
требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению или уточнению неполных или неточных данных);
требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
иные требования законодательства.
3.2. В соответствии с частью 1 статьи 18.1 Федерального закона «О персональных данных» и если иное не предусмотрено законодательством Российской Федерации, Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области защиты персональных данных. В частности, защита персональных данных достигается Оператором путем:
назначения Оператором ответственного за организацию обработки персональных данных;
издания Оператором настоящей Политики, а также разработки иной документации с учетом требований законодательства в области персональных данных;
организации доступа работников к информации, содержащей персональные данные субъектов персональных данных, в соответствии с их должностными (функциональными) обязанностями;
установления правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
соблюдения сотрудниками, допущенными к обработке персональных данных субъектов, требований, установленных законодательством Российской Федерации в области персональных данных и локальными нормативными актами Оператора.
4. Сведения о принятых мерах
В целях выполнения требований, предусмотренных Федеральным законом «О персональных данных» Контрольно-счетной палатой Вологодской области, как Оператором приняты следующие меры, в частности:
1) назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;
2) приняты локальные акты, направленные на защиту персональных данных;
3) лица, имеющие доступ и ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами и локальными актами, регламентирующими порядок работы и защиты персональных данных, а также предупреждены о возможной дисциплинарной, административной, гражданско – правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных;
4) разграничены права доступа к обрабатываемым персональным данным;
5) проводятся периодические проверки условий обработки персональных данных.
6) осуществляются меры технического характера, направленные на:
- предотвращение несанкционированного доступа к системам, в которых хранятся персональные данные;
- резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- иные необходимые меры безопасности.
5. Заключительные положения
5.1. Настоящая Политика является внутренним документом Оператора.
5.2. Во исполнение части 2 статьи 18.1 Федерального закона «О персональных данных» настоящая Политика должна быть опубликована или неограниченный доступ к ней должен быть обеспечен иным образом.
5.3. Оператор оставляет за собой право вносить изменения в настоящую Политику.
Если иное не предусмотрено руководителем Оператора:
изменения вносятся путем издания новой редакции настоящей Политики;
новая редакция Политики вступает в силу со дня ее утверждения;
предыдущая редакция Политики утрачивает силу с момента утверждения новой редакции.
5.4. Иные локальные правовые акты Оператора должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.
|