Защита персональных данных

Политика в отношении обработки персональных данных в Государственном автономном образовательном учреждении дополнительного профессионального образования Республики Башкортостан «Учебный центр государственной службы занятости населения»

  1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в государственном автономном образовательном учреждении дополнительного профессионального образования Республики Башкортостан «Учебный центр государственной службы занятости населения»  (далее — Политика) устанавливает единый порядок обработки персональных данных в государственном автономном образовательном учреждении дополнительного профессионального образования Республики Башкортостан «Учебный центр государственной службы занятости населения»  (далее — ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН»).

1.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Трудовым Кодексом Российской Федерации, постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

  1. Основные термины и определения

В настоящей Политике используются следующие основные термины и определения:

  • персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор — ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», организующий и (или) осуществляющий обработку персональных данных;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники оператора;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных оператора персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  1. Основные условия обработки персональных данных

Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:

3.1. Получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3.2. Направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Башкортостан, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3.3. Подписания работниками ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», допущенными к работе с персональными данными, обязательства о неразглашении информации.

  1. Порядок обработки персональных данных

4.1. Обработка персональных данных осуществляется после:

  • получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
  • направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Башкортостан, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона.

4.2. Работник ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», ответственный за защиту персональных данных, назначается приказом директора. Перечень лиц, допущенных к обработке персональных данных, определяется приказом директора. Лица, допущенные к обработке персональных данных, в обязательном порядке подписывают обязательство о неразглашении информации, содержащей персональные данные.

4.3. Меры, которые необходимо соблюдать, для обеспечения защиты персональных данных:

  • ограничение и регламентация состава работников ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», функциональные обязанности которых требуют знаний соответствующих требованиям нормативно — методических документов по защите персональных данных;
  • строгое избирательное и обоснованное распределение документов и информации между работниками ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН»;
  • рациональное размещение рабочих мест работников ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», при котором исключалось бы бесконтрольное использование защищаемой информации;
  • знание работниками ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» требований нормативно — методических документов по защите персональных данных;
  • наличие необходимых условий в помещении для работы с конфиденциальными документами и информационными системами персональных данных;
  • определение и регламентация состава работников ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
  • своевременное выявление нарушения требований разрешительной системы доступа работниками ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН»;
  • воспитательная и разъяснительная работа с работниками ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
  • порядок охраны территории и помещения.
  1. Порядок обработки персональных данных в информационных системах персональных данных

Обработка персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

5.1. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:

  • на компьютерах, на которых обрабатываются и хранятся персональные данные, должны быть установлены пароли;
  • на период обработки защищаемой информации на рабочем месте с доступом к персональным данным могут находиться лица, допущенные в установленном порядке к обрабатываемой информации. Допуск других лиц может осуществляться с разрешения начальника отдела.

5.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:

  • при отсутствии установленных и настроенных сертифицированных средств защиты информации;
  • при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
  1. Порядок обработки персональных данных без использования средств автоматизации

6.1. Обработка персональных данных без использования средств автоматизации (далее — неавтоматизированная обработка персональных данных) должна осуществляться в соответствии с постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об обеспечении безопасности персональных данных, осуществляемой без использования средств автоматизации».

6.2. В соответствии с п.1 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

6.3. При осуществлении неавтоматизированной обработки необходимо соблюдать следующий порядок:

6.3.1. Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы.

6.3.2. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм.

6.3.3. Документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных.

6.3.4. Дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

6.3.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовые формы), должны соблюдаться следующие условия:

  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
  • типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, при необходимости получения письменного согласия на обработку персональных данных;
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
  • типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

6.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

  • при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
  • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

6.5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

6.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

6.7. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

6.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

  1. Сроки обработки и хранения обрабатываемых персональных данных

7.1. Сроки обработки и хранения персональных данных определяются:

  • приказом Министерства культуры Российской Федерации от 25 августа 2010 г. № 558 «Об утверждении „Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
  • иными требованиями законодательства Российской Федерации и Республики Башкортостан.

7.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

  1. Общие правила по обработке и защите персональных данных пользователями информационной системы персональных данных

8.1. К основным правам и обязанностям пользователей информационной системы персональных данных относятся следующие:

  • пользователю информационной системы персональных данных разрешается выполнять на автоматизированном рабочем месте, входящих в состав информационной системы персональных данных, только задачи, соответствующие целям обработки персональных данных в данной информационной системе персональных данных и предусмотренные должностными обязанностями;
  • перед началом обработки на автоматизированном рабочем месте, входящих в состав информационной системы персональных данных, файлов, хранящихся на съемных носителях информации, пользователь информационной системы персональных данных должен осуществить проверку этих файлов на наличие компьютерных вирусов;
  • немедленно докладывать ответственному за организацию обработки персональных данных в ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» и администратору информационной безопасности в ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» о случаях вирусного заражения, сообщениях об ошибках операционной системы и средств защиты информации, а также уничтожении или искажении обрабатываемых в информационной системе персональных данных.

8.2. Пользователям информационной системы персональных данных запрещается:

  • записывать и хранить персональные данные на неучтенных носителях информации;
  • отключать (блокировать) средства защиты информации, входящие в состав системы защиты персональных данных;
  • производить какие-либо изменения в электрических схемах, монтаже и размещении автоматизированных рабочих мест, серверов и сетевого оборудования, входящих в состав информационной системы персональных данных;
  • самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
  • обрабатывать в информационной системе персональных данных информацию и выполнять другие работы, не предусмотренные должностными обязанностями;
  • работать на автоматизированном рабочем месте, входящим в состав информационной системы персональных данных, при обнаружении каких-либо неисправностей. В случае обнаружения неисправностей пользователь обязан сообщить ответственному за организацию обработки персональных данных в ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» и администратору информационной безопасности персональных данных;
  • хранить носители информации вблизи сильных источников электромагнитных излучений и прямых солнечных лучей;
  • хранить на учтенных носителях информации программы и данные, не относящиеся к рабочей информации.
  1. Порядок предоставления персональных данных

9.1. Предоставление персональных данных внешним организациям через Интернет осуществляется только по защищенному каналу VPN.

9.2. Режим предоставления персональных данных определяется действующими соглашениями между ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» и внешними организациями.

9.3. В случае нарушения защищенного канала VPN или приостановки или истечения срока действия соглашения предоставление персональных данных прекращается.

  1. Рассмотрение запросов субъектов персональных данных или их представителей

10.1. В соответствии с законодательством, субъект персональных данных или его представитель имеет право при обращении или запросе на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных в министерстве;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые в ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» способы обработки персональных данных;
  • наименование и место нахождения ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения в ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН»;
  • порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
  • наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные законодательством.

Право субъекта персональных данных или его законного представителя на доступ к своим персональным данным ограничивается в случае, если:

  • обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  • обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
  • обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
  • обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если субъект персональных данных или его представитель считает, что ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных или его представитель вправе обжаловать действия (бездействие) ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных или его представитель имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10.2. При поступлении запроса субъекта персональных данных или его представителя, работник ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», регистрирует его в журнале учета обращений субъектов персональных данных.

ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя, либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя.

В случае отказа в предоставлении субъекту персональных данных или его представителю при запросе либо при получении запроса субъекта персональных данных или его представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных, ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» обязан дать в письменной форме мотивированный ответ в срок, не превышающий семи рабочих дней со дня запроса субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.

ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» обязан безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также обязан внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН», являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и  предпринятых мерах ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» обязан уведомить субъекта персональных данных или его представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

ГАОУ ДПО РБ «УЧЕБНЫЙ ЦЕНТР ГСЗН» обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с  даты получения такого запроса.

  1. Заключительные положения

11.1. Настоящая Политика является внутренним документом оператора.

11.2. Во исполнение ч 2. ст.18.1 ФЗ-152 «О персональных данных», данная Политика должна быть опубликована или неограниченный доступ к ней должен быть обеспечен иным образом.

11.3. Оператор оставляет за собой право вносить изменения в настоящую Политику.

11.4. Иные локальные нормативные акты Оператора должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.