1. Общие положения
1.1 Настоящая Политика обработки персональных данных (далее – Политика) в Государственном автономном учреждении «Иркутский областной многофункциональный центр предоставления государственных и муниципальных услуг» (далее – ГАУ «МФЦ ИО», Учреждение, Оператор) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 года № 152-ФЗ (далее – Федеральный закон «О персональных данных») и является основополагающим внутренним регулятивным документом Учреждения, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных.
1.2 Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод гражданина при обработке его персональных данных в ГАУ «МФЦ ИО», в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3 Политика определяет цели и общие принципы обработки персональных данных в ГАУ «МФЦ ИО» с использованием средств автоматизации и без использования таких средств, а также реализуемые меры защиты персональных данных. Устанавливает ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.4 Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами ГАУ «МФЦ ИО», обязательными к исполнению всеми сотрудниками Учреждения, допущенными к обработке персональных данных.
1.5 Основные понятия, используемые в Политике:
1.5.1 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.5.2 Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;
1.5.3 Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.5.4 Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.5.5 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.5.6 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.5.7 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.5.8 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.5.9 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.5.10 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.5.11 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.6 Основные права и обязанности Оператора персональных данных:
1.6.1 При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Федерального закона «О персональных данных».
1.6.2 Если предоставление персональных данных является обязательным в соответствии с Федеральным законом «О персональных данных», Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
1.6.3 Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
- источник получения персональных данных.
1.6.4 Оператор освобождается от обязанности предоставить субъекту персональных данных вышеуказанные сведения, в случаях, если:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены Оператором на основании Федерального закона «О персональных данных» или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона «О персональных данных»;
- Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных вышеуказанных сведений, нарушает права и законные интересы третьих лиц.
1.6.5 При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона «О персональных данных».
1.6.6 Оператор обязан по письменному требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.6.7 В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
1.7 Основные права и обязанности субъекта персональных данных:
1.7.1 Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.7.2 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
1.7.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
1.7.4 Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
1.7.5 Субъект персональных данных имеет право отозвать согласие на обработку персональных данных.
1.7.6 Субъект персональных данных вправе обжаловать действия (бездействия) Оператора, осуществляющего обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
1.7.7 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.7.8 Субъект персональных данных имеет также иные права, установленные Федеральным законом «О персональных данных»
2. Цели сбора персональных данных
2.1 ГАУ «МФЦ ИО» как Оператор осуществляет обработку персональных данных в следующих целях:
- предоставление государственных и муниципальных услуг, в том числе и в электронной форме;
- организация кадрового обеспечения деятельности Учреждения, ведение кадрового делопроизводства;
- выполнение условий трудового договора;
- начисление заработной платы
- исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
- осуществление пропускного режима на территорию служебных зданий и помещений ГАУ «МФЦ ИО»;
- подбор кандидатов на вакантные должности в ГАУ «МФЦ ИО»;
- сбор информации о действиях пользователей сайта для получения статистики посещаемости, улучшение качества сайта и его содержания;
- исполнение иных функций и полномочий, возложенных на Оператора положениями правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.
2.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Правовые основания обработки персональных данных
3.1 Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.
3.2 Обработка персональных данных в ГАУ «МФЦ ИО» осуществляется на законной и справедливой основе, правовыми основаниями являются:
- Конституция Российской Федерации
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации
- Налоговый кодекс Российской Федерации
- Федеральный закон от 27.07.2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»
- Постановление Правительства Российской Федерации от 27.09.2011 № 797 «О взаимодействии между многофункциональными центрами предоставления государственных (муниципальных) услуг и федеральными органами исполнительной власти, органами государственных внебюджетных фондов, органами государственной власти субъектов Российской Федерации, органами местного самоуправления».
- Постановление Правительства Российской Федерации от 22.12.2012 №1376 «Правила организации деятельности многофункциональных центров предоставления государственных и муниципальных услуг»
- Устав ГАУ «МФЦ ИО»;
- договоры, заключаемые между ГАУ «МФЦ ИО» и субъектом персональных данных;
- согласие на обработку персональных данных
- иные правовые документы.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2 К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:
- работники, состоящие в трудовых отношениях с Оператором, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором;
- физические лица, либо их уполномоченные представители, обратившиеся в ГАУ «МФЦ ИО» с запросом о предоставлении государственной или муниципальной услуги, выраженным в устной или письменной форме;
- физические лица, либо их уполномоченные представители, обратившиеся к Оператору на законных основаниях;
- физические лица, либо их уполномоченные представители, обратившиеся к Оператору через электронные формы, расположенные на официальном сайте ГАУ «МФЦ ИО» в сети Интернет.
4.3 Для указанных категорий субъектов могут обрабатываться:
- фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества в случае их изменения, причина изменения);
- пол;
- число, месяц, год рождения;
- место рождения, данные свидетельства о рождении;
- информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
- вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего документ, дата выдачи, код подразделения;
- вид, серия, номер документа, удостоверяющего личность за пределами территории Российской Федерации, наименование органа, выдавшего документ, дата выдачи, код подразделения;
- адрес места жительства (адрес регистрации и фактического проживания), дата регистрации по месту жительства;
- номер контактного телефона, адрес электронной почты или сведения о других способах связи;
- семейное положение, реквизиты свидетельств государственной регистрации актов гражданского состояния;
- состав семьи, данные свидетельств о рождении детей;
- степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
- реквизиты страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- реквизиты страхового медицинского полиса обязательного медицинского страхования;
- владение иностранными языками и языками народов Российской Федерации;
- отношение к воинской обязанности, сведения по воинскому учету;
- образование (где и какие образовательные учреждения окончил, реквизиты дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
- послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, реквизиты дипломов, аттестатов);
- место работы, должность;
- информация, содержащаяся в контракте (трудовом договоре), дополнительных соглашениях к контракту (трудовому договору);
- выполняемая работа с начала трудовой деятельности (включая учебу в высших и средних специальных учебных заведениях, военную службу, работу по совместительству, предпринимательскую деятельность);
- государственные награды, иные награды и знаки отличия (кем и когда награжден);
- наличие (отсутствие) судимости;
- сведения о наложении дисциплинарного взыскания до его снятия или отмены;
- сведения, содержащиеся в материалах по расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям;
- сведения, содержащиеся в копиях решений судов;
- сведения, подаваемые в налоговую инспекцию, пенсионный фонд, фонд социального страхования и другие учреждения;
- сведения, содержащиеся в регистрах бухгалтерского учета и внутренней бухгалтерской отчетности;
- сведения о состоянии здоровья;
- сведения, содержащие в листке нетрудоспособности;
- сведения о заработной плате (номера расчетного счета, данные договоров);
- социальное положение;
- фотография;
- личная подпись;
- данные водительского удостоверения;
- тип устройства, анонимные идентификаторы браузера посетителей сайта, время на сайте, глубина просмотра сайта;
- иные сведения, предусмотренные типовыми формами и нормативными актами с установленным порядком исполнения функций и полномочий, возложенных на Оператора.
5. Порядок и условия обработки персональных данных
5.1 Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации, и без использования средств автоматизации.
5.2 Действия с персональными данными включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.3 Условием прекращения обработки персональных данных является достижение целей обработки, истечение срока действия согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.4 Персональные данные, цели обработки которых несовместимы между собой, обрабатываются Оператором в различных базах данных.
5.5 Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
5.6 Содержание и объем персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
5.7 При обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператором обеспечивается принятие необходимых мер по удалению или уточнению неполных или неточных данных.
5.8 Хранение Оператором персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.9 При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч.5 ст.18 Федерального закона «О персональных данных».
5.10 Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
5.11 Условием обработки персональных данных является соблюдение принципов и правил, предусмотренных Федеральным законом «О персональных данных». Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.12 В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
5.13 Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.14 Обеспечение безопасности персональных данных достигается следующими действиями:
- назначением ответственных за организацию обработки и обеспечение безопасности персональных данных;
- определением списка лиц, допущенных к работе с персональными данными;
- утверждением документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений;
- ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и обучением указанных работников;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.15 Обеспечение безопасности персональных данных, обрабатываемых без использования средств автоматизации Оператором, достигается следующими действиями:
- в отношении каждой категории персональных данных определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- обеспечением раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, при хранении материальных носителей. Установлением Оператором перечня мер, необходимых для обеспечения таких условий, а также перечня лиц, ответственных за реализацию указанных мер.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1 В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена.
6.2 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами.
- иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
6.3 В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ч. 2 ст. 9 Федерального закона «О персональных данных».
6.4 Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
6.5. Правила рассмотрения запросов субъектов персональных данных или их представителей в ГАУ «МФЦ ИО» изложены в Приложении №1 к настоящей Политике.
7. Заключительные положения
7.1 Настоящая Политика является открытым документом и предназначена для ознакомления неограниченного круга лиц. Электронная версия действующей редакции Политики общедоступна на официальном сайте ГАУ «МФЦ ИО» в сети Интернет https://mfc38.ru.
7.2 Политика утверждается и вводится в действие распорядительным документом, подписываемым руководителем Оператора.
7.3 Политика актуализируется и заново утверждается по мере внесения изменений:
- в нормативные правовые акты в сфере персональных данных.
- в локальные акты и распорядительные документы Оператора, регламентирующие организацию обработки и обеспечение безопасности персональных данных.
7.4 Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.
Приложение №1
к Политике обработки персональных данных
в ГАУ «МФЦ ИО»
Правила рассмотрения запросов субъектов персональных данных или их представителей в ГАУ «МФЦ ИО»
1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в ГАУ «МФЦ ИО» (далее – Правила) разработаны в соответствии с Федеральным законом «О персональных данных», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», другими нормативно-правовыми актами и определяют порядок рассмотрения запросов субъектов персональных данных или их представителей (далее – Запросы).
2. Сведения, указанные в п. 1.7.2 Политики предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
3. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя; сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с ГАУ «МФЦ ИО», либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением; подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае если сведения, указанные в п. 1.7.2 Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в ГАУ «МФЦ ИО» или направить повторный запрос в целях получения сведений, указанных в п. 1.7.2 Политики, и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом «О персональных данных), принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в ГАУ «МФЦ ИО» или направить повторный запрос в целях получения сведений, указанных в п. 1.7.2 Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
5. Запросы в тот же день докладываются начальнику отдела по защите информации ГАУ «МФЦ ИО» либо лицу, его заменяющему, который определяет порядок и сроки их рассмотрения, в соответствии со сводной таблицей действий в ответ на запросы по персональным данным (Приложение №1 к настоящим Правилам), дает по каждому из них письменное указание исполнителям.
6. Начальник отдела по защите информации ГАУ «МФЦ ИО» и другие должностные лица при рассмотрении и разрешении запроса обязаны:
- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
- принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
- сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса – разъяснять также порядок обжалования принятого решения.
7. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
8. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Результаты служебной проверки докладываются директору ГАУ «МФЦ ИО».
9. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
10. Ответы на запросы печатаются на фирменном бланке и регистрируются в порядке, установленном Инструкцией по делопроизводству ГАУ «МФЦ ИО».
Приложение №1
К Правилам рассмотрения запросов
субъектов персональных данных или их
представителей в ГАУ «МФЦ ИО»
Сводная таблица действий в ответ на запросы по персональным данным
№ |
Запрос |
Действия |
Срок |
Ответ |
1. Запрос Субъекта ПДн или его Представителя |
||||
1.1. |
Наличие ПДн |
Подтверждение обработки ПДн |
30 дней (п. 1 ст. 20 152-ФЗ) |
Подтверждение обработки ПДн |
Отказ подтверждения обработки ПДн |
30 дней (п. 2 ст. 20 152-ФЗ) |
Уведомление об отказе подтверждения обработки ПДн |
||
1.2. |
Ознакомление с ПДн |
Предоставление информации по ПДн |
30 дней (п. 1 ст. 20 152-ФЗ) |
1. Подтверждение обработки ПДн, а также правовые основания и цели такой обработки. 2. Способы обработки ПДн. 3. Сведения о лицах, которые имеют доступ к ПДн. 4. Перечень обрабатываемых ПДн и источник их получения. 5. Сроки обработки ПДн, в том числе сроки их хранения. 6. Информация об осуществленных или о предполагаемой трансграничной передаче. 7. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу. |
Отказ предоставления информации по ПДн |
30 дней (п. 2 ст. 20 152-ФЗ) |
Уведомление об отказе предоставления информации |
||
1.3. |
Уточнение ПДн |
Изменение ПДн |
7 рабочих дней со дня предоставления уточняющих сведений (п. 3 ст. 20 152-ФЗ) |
Уведомление о внесенных изменениях |
Отказ изменения ПДн |
Уведомление об отказе изменения ПДн |
|||
1.4. |
Уничтожение ПДн |
Уничтожение ПДн |
7 рабочих дней со дня предоставления сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (п. 3 ст. 20 152-ФЗ) |
Уведомление об уничтожении |
Отказ уничтожения ПДн |
Уведомление об отказе уничтожения ПДн |
|||
1.5. |
Отзыв согласия на обработку ПДн |
Прекращение обработки и уничтожение ПДн |
30 дней (п. 5 ст. 21 152-ФЗ) |
Уведомление о прекращении обработки и уничтожении ПДн |
Отказ прекращения обработки и уничтожения ПДн |
Уведомление об отказе прекращения обработки и уничтожения ПДн |
|||
1.6. |
Недостоверность ПДн Субъекта |
Блокировка ПДн |
С момента обращения Субъекта ПДН о недостоверности или с момента получения запроса на период проверки (п. 1 ст. 21 152-ФЗ) |
Уведомление о внесенных изменениях |
Изменение ПДн |
7 рабочих дней со дня предоставления уточненных сведений (п. 2 ст. 21 152-ФЗ) |
|||
Снятие блокировки ПДн |
||||
Отказ изменения ПДн |
Уведомление об отказе изменения ПДн |
|||
1.7. |
Неправомерность действий с ПДн Субъекта |
Прекращение неправомерной обработки ПДн |
3 рабочих дня (п. 3 ст. 21 152-ФЗ) |
Уведомление об устранении нарушений |
Уничтожение ПДн в случае невозможности обеспечения правомерности обработки |
10 рабочих дней (п. 3 ст. 21 152-ФЗ) |
Уведомление об уничтожении ПДн |
||
1.8. |
Достижение целей обработки ПДн Субъекта |
Прекращение обработки ПДн |
30 дней (п. 4 ст. 21 152-ФЗ), если иное не предусмотрено договором с субъектом ПДн |
Уведомление об уничтожении ПДн |
Уничтожение ПДн |
||||
2. Запрос Уполномоченного органа по защите прав Субъекта ПДн |
||||
2.1. |
Информация для осуществления деятельности уполномоченного органа |
Предоставление затребованной информации по ПДн |
30 дней (п. 4 ст. 20 152-ФЗ) |
Предоставление затребованной информации по ПДн |
2.2. |
Недостоверность ПДн Субъекта |
Блокировка ПДн |
С момента обращения Уполномоченного органа о недостоверности или с момента получения запроса на период проверки (п. 1 ст. 21 152-ФЗ) |
Уведомление о внесенных изменениях |
Изменение ПДн |
7 рабочих дней со дня предоставления уточненных сведений (п. 2 ст. 21 152-ФЗ)
|
|||
Снятие блокировки ПДн
|
||||
Отказ изменения ПДн |
Уведомление об отказе изменения ПДн |
|||
2.3. |
Неправомерность действий с ПДн Субъекта |
Прекращение неправомерной обработки ПДн |
3 рабочих дня (п. 3 ст. 21 152-ФЗ) |
Уведомление об устранении нарушений |
Уничтожение ПДн в случае невозможности обеспечения правомерности обработки |
10 рабочих дней (п. 3 ст. 21 152-ФЗ) |
Уведомление об уничтожении ПДн |
||
2.4. |
Достижение целей обработки ПДн Субъекта |
Блокировка ПДн |
30 дней (п. 4 ст. 21 152-ФЗ), если иное не предусмотрено договором с субъектом ПДн |
Уведомление об уничтожении ПДн |
Уничтожение ПДн
|