приказом МП г.Армавира
«Армавиргортранс»
от 15 сентября 2017 г. № 122
ПОЛИТИКА
муниципального предприятия города Армавира «Армавиргортранс» в отношении обработки и защиты персональных данных
(версия 2, в редакции от 15.09.2017г.)
Политика муниципального предприятия города Армавира «Армавиргортранс»
(МП г.Армавира «Армавиргортранс»)
в отношении обработки и защиты персональных данных
1. Общие положения
1.1. Муниципальное предприятие города Армавира «Армавиргортранс» (МП г.Армавира «Армавиргортранс»), выполняя требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», публикует в свободном доступе настоящую политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.
1.2. Основные понятия:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Настоящая Политика в отношении обработки персональных данных (далее – Политика) действует в отношении всех персональных данных, которые МП г.Армавира «Армавиргортранс» (далее – Предприятие) может получить от субъекта персональных данных, состоящего с Предприятием в отношениях, регулируемых трудовым законодательством, (далее – Работник) или от субъекта персональных данных – физического (юридического) лица, состоящего в договорных и иных гражданско-правовых отношениях с Предприятием, (далее – Клиент(Контрагент)).
1.2. Целью настоящей Политики является соблюдение прав субъектов персональных данных при обработке их персональных данных в МП г.Армавира «Армавиргортранс».
1.3. Настоящая Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», «Положением об особенностях обработки персональных данных, «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утв. Постановлением Правительства РФ от 01.11.2012г. N 1119, и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.4. Настоящая политика обязательна к исполнению всеми сотрудниками МП г.Армавира «Армавиргортранс», описывает основные цели, принципы, порядок и условия обработки и требования к безопасности персональных данных в МП г.Армавира «Армавиргортранс».
1.5.Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности МП г.Армавира «Армавиргортранс».
2.Цели сбора персональных данных.
2.1. Обработка персональных данных в МП г.Армавира «Армавиргортранс» осуществляется на основе принципов:
– обработка персональных данных субъектов осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;
– объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– персональные данные Предприятие получает только у самого субъекта (или его законного представителя);
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных.
Предприятием принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.
2.2. Обработка персональных данных субъектов персональных данных проводится МП г.Армавира «Армавиргортранс» с целью осуществления прав и обязанностей Работников в соответствии с трудовым законодательством; ведения персонифицированного учета; исполнения договорных и иных гражданско-правовых отношений при осуществлении Предприятием хозяйственной деятельности, повышения оперативности и качества обслуживания Клиентов (Контрагентов) установленного правилами МП г.Армавира «Армавиргортранс».
3. Правовые основания обработки персональных данных.
Обработка персональных данных осуществляется в соответствии с:
1) Конституцией Российской Федерации;
2) Трудовым кодексом Российской Федерации;
3) Уставом Предприятия;
4) Трудовыми договорами, договорами о материальной ответственности с Работниками предприятия;
5) Договорами с Клиентами (Контрагентами);
6) Согласием на обработку персональных данных;
7) Обязательством о неразглашении конфиденциальной информации;
8) Федеральным законом "Об информации, информационных технологиях и защите информации" от 27.07.2006 г. N 149-ФЗ.
9) Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15.09.2008 г. № 687.
10) Постановлением от 01.11.2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
11) Приказом ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02. 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
12) Приказом ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
13) Приказом Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
14) Приказом ФНС от 17.11.2010 г. № ММВ-7-3/611 "Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников".
15) Иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
4.Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
4.1. Предприятие обрабатывает персональные данные следующих субъектов персональных данных:
4.1.1. Работников, бывших работников, кандидатов н замещение вакантных должностей, а также родственников работников.
4.1.2. Клиентов и контрагентов – физических лиц.
4.1.3. Представителей/работников клиентов и контрагентов Предприятия – юридических лиц.
4.1.4. Граждан, выполняющих работу по гражданским договорам.
4.1.5. Физических лиц, обратившихся к Предприятию в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
4.2. Предприятием обрабатываются следующие категории персональных данных:
2.3.1. В отношении работников, бывших работников, кандидатов н замещение вакантных должностей, а также родственников работников: фамилия, имя, отчество, дата и место рождения, адрес регистрации и место жительства, номер телефона, реквизиты основного документа, удостоверяющего личность гражданина, данные страхового свидетельства, ИНН, семейное и социальное положения, образование, квалификация, профессия, сведения о воинском учете (при их наличии), данные медицинского характера (в случаях, предусмотренных законодательством РФ);
2.3.2. В отношении клиентов/ контрагентов, представителей/работников клиентов и контрагентов, физических лиц, обратившихся к Предприятию в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации»: фамилия, имя и отчество, год, месяц, дата и место рождения, реквизиты документа, удостоверяющего личность гражданина, сведения о регистрации по месту жительства или временной регистрации по месту пребывания, о месте проживания, номер телефона, данные, сведения о семейном положении, др. сведения полученные Предприятием при осуществлении своей деятельности.
4.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Предприятию и дает согласие на их обработку свободно, своей волей и в своем интересе.
4.4. Предприятие обеспечивает соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.5. Обработка специальных категорий персональных данных – о состоянии здоровья, когда это не связано с выполнением работы, расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной и частной жизни, в МП г.Армавира «Армавиргортранс» не осуществляется.
5. Порядок и условия обработки персональных данных.
5.1. В МП г. Армавира «Армавиргортранс» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
5.2. В целях координации действий по обеспечению безопасности персональных данных на Предприятии назначено ответственное лицо за обеспечение безопасности персо- нальных данных.
5.3. Доступ к персональным данным на Предприятии имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей. Работники, получающие доступ к персональным данным, назначаются приказом директора предприятия. Они проходят процедуру допуска, в процессе которой обучаются методам и способам безопасной обработки персональных данных.
Права, обязанности и ответственность работников, обрабатывающих персональные данные на предприятии, закрепляются в их трудовых договорах. Они дают отдельное письменное обязательство о неразглашении персональных данных.
За нарушение правил обработки персональных данных, ставших им известными по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения.
5.4. Все персональные данные Предприятие получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.
5.5. В случаях, предусмотренных законом, Предприятие обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях Предприятие предлагает субъекту оформить персональное письменное согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
5.6. Обработка персональных данных в МП г.Армавира «Армавиргортранс» осуществляется
путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), обезличивания, блокирования, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.
5.7. Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.
5.8. МП г.Армавира «Армавиргортранс» не осуществляет трансграничную передачу персональных данных субъекта.
5.9. МП г.Армавира «Армавиргортранс» хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.10. Условием прекращения обработки персональных данных является достижение целей обработки, истечение срока хранения, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.11. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними Предприятием применяются организационные и технические меры.
5.12. Для защиты персональных данных при их обработке в МП г.Армавира «Армавиргортранс» применяются следующие организационные и технические меры:
- доступ к персональным данным предоставляется только тем сотрудникам Предприятия, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей;
- обработка персональных данных ведется сотрудниками Предприятия на рабочих местах, выделенных для исполнения ими должностных обязанностей;
- рабочие места размещаются таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации;
- конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым в МП г.Армавира «Армавиргортранс» порядком в сроки, установленные законодательством РФ;
- проводятся процедуры, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
- разграничены права доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
- проводится ознакомление работников Предприятия, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства РФ, требованиями к защите персональных данных, локальными нормативными актами Предприятия по вопросам обработки персональных данных;
- своевременно выявляются и предотвращаются нарушения требований законодательства РФ в области обработки персональных данных, устраняются последствия таких нарушений;
- проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных при их обработке, а также проводится контроль соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006г. и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным актам Предприятия.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
6.1. МП г.Армавира «Армавиргортранс» при обращении или по запросу субъекта персональных данных либо его законного представителя, а также по запросу Роскомнадзора блокирует неточные или неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации.
6.2. Предприятие на основании сведений, предоставленных субъектом персональных данных или его законным представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня предоставления таких сведений.
6.3. В случае выявления неправомерной обработки персональных данных Предприятие в срок, не превышающий трех рабочих дней, прекращает неправомерную обработку персональных данных.
6.4. При достижении целей обработки, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- иное не предусмотрено требованиями нормативных правовых актов;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или
иными федеральными законами;
6.5. В случае достижения цели обработки персональных данных МП г.Армавира «Армавиргортранс» прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
6.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных МП г.Армавира «Армавиргортранс» прекращает их обработку в срок, не превышающий тридцати дней с даты поступления отзыва.
6.7. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только, если они наделены необходимыми полномочиями в соответствии с законодательством РФ, либо на основании договоров с Предприятием, заключенных в связи с требованиями законодательства РФ.
Основанием для сотрудника Предприятия в целях предоставления информации о персональных данных субъектов служит резолюция директора организации на соответствующем запросе либо факт подписания соглашения (договора) об информационном обмене.
В соглашение (договор) об информационном обмене включается условие о неразглашении сведений, составляющих персональные данные субъектов, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
6.8. При передаче персональных данных субъектов Предприятие и уполномоченные им должностные лица соблюдают следующие требования:
– не сообщают персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
– предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требуют от этих лиц подтверждения соблюдения этого условия, за исключением случаев, установленных федеральным законодательством;
– не отвечают на вопросы, связанные с предоставлением персональной информации, любым третьим лицам без законных оснований (письменного запроса);
– ведут учет передачи персональных данных субъектов по поступившим в МП г.Армавира «Армавиргортранс» запросам субъектов.
7. Заключительные положения
7.1. Настоящая Политика вступает в силу с момента ее утверждения директором Предприятия.
7.2. Настоящая Политика подлежит корректировке в случае изменения законодательства РФ, регулирующих органов в области защиты персональных данных, внутренних документов Предприятия в области защиты конфиденциальной информации. При внесении изменений в заголовке Политики указывается номер версии и дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения директором Предприятия и размещения на сайте МП г.Армавира «Армавиргортранс».
7.3. В случае изменения законодательства РФ в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.
7.4. Контроль исполнения требований настоящей Политики осуществляется ответственным лицом за обеспечение безопасности персональных данных Предприятия.
7.5. Действующая редакция Политики хранится по адресу: г. Армавир, ул. Шоссейная, д. 119, электронная версия Политики – на сайте МП г.Армавира «Армавиргортранс» по адресу: www.armgortrans.ru.
