Правила обработки персональных данных в Главном управлении (утв. приказом ГУ от 04.02.2013 №93)
Правила
обработки персональных данных в Главном управлении МЧС России
по Владимирской области
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и устанавливает единый порядок обработки персональных данных в Главном управлении МЧС России по Владимирской области (далее - Главное управление).
1.2. Основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Принципы обработки персональных данных
2.1. Персональные данные являются конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы сотрудниками Главного управления для целей, не указанных в п. 3.1 настоящих Правил.
2.2. Разглашение персональных данных или их части допускается только в случаях предусмотренных действующим законодательством Российской Федерации, либо с отдельного письменного согласия субъекта персональных данных.
2.3. Все меры защиты при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные носители информации.
3. Цели, условия и порядок обработки и хранения персональных данных
3.1. Целью обработки персональных данных в Главном управлении является реализация полномочий Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (далее - МЧС России) и учет персональных данных личного состава и кандидатов на замещение вакантных должностей в связи с реализацией трудовых отношений.
3.2. Категории субъектов, персональные данные которых обрабатываются: сотрудники Главного управления, кандидаты на замещение вакантных должностей в Главном управлении, физические лица, обратившиеся с обращением (жалобой или заявлением), физические лица, состоящие в договорных или иных гражданско-правовых отношениях с Главным управлением.
3.3. Содержание персональных данных.
3.3.1. В целях реализации полномочий МЧС России осуществляется обработка следующих категорий персональных данных: персональные данные физических лиц, обратившихся с обращением (жалобой или заявлением), физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Главным управлением: фамилия, имя, отчество, адрес, номер телефона и адрес электронной почты, основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя (ОГРНИП), идентификационный номер налогоплательщика (ИНН), сведения о предоставленной поддержке, информация о нарушении порядка и условий предоставления поддержки (если имеется), в том числе о нецелевом использовании средств поддержки, сведения о профессии, должности, образовании, иные сведения, предоставленные субъектом персональных данных.
3.3.2. В целях учета персональных данных личного состава и кандидатов на замещение вакантных должностей осуществляется обработка следующих категорий персональных данных: фамилия, имя, отчество, адрес места жительства, паспортные данные, данные медицинского полиса, данные страхового свидетельства, данные военного билета, сведения о профессии, должности, образовании, сведения об имущественном положении, сведения о семейном положении, идентификационный номер налогоплательщика (ИНН).
3.4. Персональные данные, обрабатываемые в информационных системах персональных данных Главного управления, их состав и средства обработки учитываются в перечне информационных систем персональных данных Главного управления.
3.5. Персональные данные, обрабатываемые в Главном управлении в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций учитываются в соответствующих перечнях.
3.6. Обработка персональных данных осуществляется:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
после принятия необходимых мер по защите персональных данных.
3.7. Сотрудники Главного управления несут персональную ответственность за обеспечение защиты обрабатываемых персональных данных.
3.8. Обработка персональных данных должна осуществляться не дольше, чем этого требуют цели обработки персональных данных, если иное не предусмотрено федеральным законом или договором, стороной которого, является субъект персональных данных и не превышать срок, в течение которого действует согласие субъекта персональных данных.
3.9. Обработка и хранение персональных данных субъектов осуществляется в отделах Главного управления, у сотрудников, осуществляющих их непосредственную обработку, в месте, исключающем несанкционированный доступ к персональным данным. Категории субъектов и содержание персональных данных, обрабатываемых сотрудниками Главного управления определяются Перечнем.
3.9.1. Доступ сотрудников Главного управления в помещения, в которых ведется обработка персональных данных, осуществляется в соответствии с Порядком доступа.
3.10. Сотрудники Главного управления, осуществляющие обработку персональных данных, принимают обязательство, в случае расторжения служебного контракта прекратить обработку персональных данных, ставших известными в связи с исполнением должностных обязанностей.
3.11. В случае отказа субъекта персональных данных предоставить свои персональные данные, необходимые для реализации Главным управлением полномочий МЧС России, сотрудник Главного управления обязан разъяснить субъекту персональных данных юридические последствия такого отказа.
3.12. Сотрудники Главного управления, осуществляющие сбор персональных данных вправе передавать их другим сотрудникам в объеме необходимом для исполнения ими служебных обязанностей в соответствии.
3.13. Начальник Главного управления может передавать персональные данные третьим лицам, в случаях, установленных действующим законодательством.
3.14. В случае необходимости может быть проведено обезличивание персональных данных. Работа с обезличенными персональными данными в Главном управлении осуществляется в соответствии с Правилами работы с обезличенными персональными данными.
3.14.1. Сотрудники, ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных определяются Перечнем.
3.15. Иные права, обязанности, действия сотрудников, связанные с обработкой персональных данных, определяются должностными инструкциями.
3.16. При необходимости длительного хранения, персональные данные размещаются в хранилище.
3.16.1. Доступ к персональным данным, размещенным в хранилище, обеспечивается сотрудником, ответственным за хранилище с учетом ограничений, установленных списком сотрудников Главного управления, имеющих допуск к персональным данным.
3.16.2. Сроки хранения персональных данных не должны превышать срок, в течение которого действует согласие субъекта персональных данных.
3.17. Уничтожение персональных данных осуществляется в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между Главным управлением и субъектом персональных данных.
3.17.1. Уничтожение персональных данных осуществляется комиссией, с составлением акта, который утверждается начальником Главного управления.
3.18. Внутренний контроль за обработкой персональных данных осуществляется ответственным за организацию обработки персональных данных в Главном управлении в соответствии с должностной инструкцией и правилами осуществления внутреннего контроля, либо комиссией по информационной безопасности и защите персональных данных Главного управления.
4. Обязанности Главного управления в отношении обработки
персональных данных
4.1. Главное управление при обработке персональных данных принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, распространения персональных данных, а также от иных неправомерных действий.
4.2. Главное управление осуществляет передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством РФ.
4.3. Главное управление обязан в порядке, предусмотренном п.п. 5.1-5.3 настоящего Порядка, сообщить субъекту персональных данных информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними при обращении в течение десяти рабочих дней с даты получения запроса.
4.4. Главное управление обязано внести по требованию субъекта персональных данных необходимые изменения, блокировать его персональные данные по предоставлении сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Главное управление уведомляет субъекта или его законного представителя и третьих лиц, которым персональные данные были переданы.
4.5. В случае выявления недостоверных персональных данных или неправомерных действий с ними Главное управление при обращении или по запросу субъекта персональных данных осуществляет блокирование персональных данных, с момента такого обращения на период проверки.
4.6. В случае подтверждения факта недостоверности персональных данных Главное управление на основании документов, представленных субъектом или его законным представителем, уточняет персональные данные и снимает их блокирование.
4.7. В случае выявления неправомерных действий с персональными данными, Главное управление в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Главное управление в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Главное управление уведомляет пользователя или его законного представителя.
5. Права субъектов персональных данных
5.1. Субъект персональных данных имеет право на получение при обращении в Главное управление следующей информации:
подтверждение факта обработки персональных данных, а также цель такой обработки;
способы обработки персональных данных, применяемые Главным управлением;
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных.
5.2. Запросы субъектов персональных данных или их представителей рассматриваются в соответствии с Правилами рассмотрения запросов субъектов персональных данных или их представителей в Главном управлении.
5.3. Если субъект персональных данных считает, что Главное управление осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие сотрудников Главного управления в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. ОтветственностьГлавного управления и его сотрудников
Защита прав пользователей, установленных настоящими Правилами и законодательством РФ, осуществляется судом, в целях пресечения неправомерного использования персональных данных пользователя, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального ущерба.
В случае нарушения норм, регулирующих обработку, хранение, передачу и защиту персональных данных Главным управлением и его сотрудниками, они несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.