Политика Амурстата в отношении обработки персональных данных
1. Общие положения
1.1. Политика Территориального органа Федеральной службы государственной статистики по Амурской области (далее – Амурстат) в отношении обработки персональных данных (далее – Политика) определяет цели, условия и порядок обработки персональных данных, а также требования по защите персональных данных в Амурстате и на сайте Амурстата.
1.2. Законодательной основой настоящей Политики является Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008г. № 687 и иные нормативно-правовые акты.
1.3. В настоящей Политике используются основные понятия, определенные в статье 3 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ:
– персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
– персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ;
– оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
– распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
– предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
– обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
– информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Полномочия Амурстата изложены в «Положении о Территориальном органе Федеральной службы государственной статистики по Амурской области», утвержденном Приказом Федеральной службы государственной статистики от 20.04.2018 № 219.
1.5. Амурстат осуществляет функции по сбору и обработке первичных статистических данных и административных данных для формирования и предоставления официальной статистической информации о социальных, экономических, демографических, экологических и других общественных процессах в Амурской области Федеральной службе государственной статистики, органам государственной власти Амурской области, органам местного самоуправления, организациям и гражданам.
1.6. Персональные данные являются конфиденциальной информацией.
1.7. Обеспечение соответствующего режима хранения и защиты полученной в процессе деятельности территориального органа информации, составляющей служебную, банковскую, налоговую, коммерческую тайну, и иной конфиденциальной информации является важным условием деятельности и одним из полномочий Амурстата.
1.8. Сведения об Амурстате, как об операторе, осуществляющем обработку персональных данных, внесены в Реестр операторов, осуществляющих обработку персональных данных, под регистрационным номером 28-13-000254, дата внесения записи –11 декабря 2013 года.
1.9. Целью настоящей Политики является определение порядка обработки персональных данных работников Амурстата и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий Амурстата; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Амурстата, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.10. Настоящая Политика вступает в силу с момента его утверждения приказом руководителя Амурстата и действует бессрочно, до замены его новой Политикой. Все изменения в настоящую Политику вносятся приказом руководителя Амурстата.
2. Принципы обработки персональных данных
2.1. При обработке персональных данных Амурстатом соблюдаются следующие принципы:
– обработка персональных данных должна осуществляется на законной и справедливой основе;
– обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
− не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
− обработке подлежат только персональные данные, которые отвечают целям их обработки;
− содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
− при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; принимаются необходимые меры по удалению или уточнению неполных или неточных данных;
− хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
– операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.2. Сроки хранения документов, в том числе электронных документов, содержащих персональные данные, определены Номенклатурой дел Амурстата. Порядок уничтожения документов, содержащих персональные данные, установлен Инструкцией по делопроизводству.
3. Цели обработки персональных данных
3.1. Обработка персональных данных в Амурстате осуществляется в целях:
– статистического учета при условии обязательного обезличивания персональных данных, для формирования официальной статистической информации по Амурской области в результате сбора первичных статистических и административных данных в ходе проведения федеральных статистических наблюдений;
– ведения кадровой работы в Амурстате (исполнения служебного контракта или трудового договора, одной из сторон которого является субъект персональных данных, ведения и хранения личных дел, учетных карточек и трудовых книжек государственных гражданских служащих, содействия гражданским служащим в прохождении государственной гражданской службы Российской Федерации, в обучении и должностном росте, учета результатов исполнения должностных обязанностей, в целях обеспечения личной безопасности гражданских служащих и членов их семей, организации рассмотрения документов кандидатов на замещение вакантных должностей государственной гражданской службы);
– обеспечения пропускного режима и сохранности имущества Амурстата;
– обеспечения соблюдения законных прав и интересов физических лиц, обращающихся в Амурстат в качестве заявителей;
– обеспечения соблюдения требований действующего законодательства о противодействии коррупции;
– обеспечения соблюдения законных прав и интересов физических лиц, с которыми в Амурстате заключены договоры гражданско-правового характера;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
– передачи персональных данных, подлежащих опубликованию в соответствии с федеральным законодательством, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы.
4. Условия и порядок обработки персональных данных, связанных с реализацией служебных или трудовых отношений
4.1. В целях, указанных в разделе 3, обрабатываются следующие категории персональных данных государственных служащих и работников, а также граждан, претендующих на замещение должностей государственной службы Амурстата:
– фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
– число, месяц, год рождения; место рождения;
– информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
– адрес места жительства (адрес регистрации, адрес фактического проживания);
– номер контактного телефона или сведения о других способах связи;
– реквизиты страхового свидетельства государственного пенсионного страхования;
– идентификационный номер налогоплательщика;
– реквизиты страхового медицинского полиса обязательного медицинского страхования;
– реквизиты свидетельства государственной регистрации актов гражданского состояния;
– семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
– сведения о трудовой деятельности;
– сведения о воинском учете и реквизиты документов воинского учета;
– сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, форма обучения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
– сведения об ученой степени, ученом звании;
– информация о владении иностранными языками, степень владения;
– медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
– справка об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;
– фотографии;
– сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, результаты квалификационных экзаменов, а также сведения о прежнем месте работы;
– информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
– сведения о пребывании за границей;
– информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде федеральной государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
– информация о наличии или отсутствии судимости;
– информация об оформленных допусках к государственной тайне;
– государственные награды, иные награды и знаки отличия;
– сведения о профессиональной переподготовке и (или) повышении квалификации;
– информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания, отпуске по беременности и родам, отпуске по уходу за ребенком до достижения им возраста 3 лет;
– сведения о доходах и расходах, об имуществе и обязательствах имущественного характера, а также о доходах и расходах, об имуществе и обязательствах имущественного характера членов своей семьи;
– номер расчетного счета; номер банковской карты;
– сведения о заграничном паспорте (номер, серия, кем и когда выдан);
– сведения о наличии близких родственников, постоянно проживающих (проживавших) за границей;
– иные персональные данные, необходимые для достижения целей, предусмотренных разделом 3.
4.2. Обработка персональных данных и биометрических персональных данных государственных служащих Амурстата, граждан, претендующих на замещение должностей государственной службы Амурстата, может осуществляться без согласия указанных лиц в рамках целей, определенных в разделе 3, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ и положениями Федерального закона "О системе государственной службы Российской Федерации" от 27.05.2003 N 58-ФЗ, Федерального закона "О государственной гражданской службе Российской Федерации" от 27.07.2004 N 79-ФЗ, статьей 6 Федерального закона «О бухгалтерском учете» от 06.12.2011 N 402-ФЗ, Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.96 N 27-ФЗ, Федерального закона "О противодействии коррупции" от 25.12.2008 N 273-ФЗ, Трудовым кодексом Российской Федерации, частью II Налогового кодекса Российской Федерации.
4.3. Обработка специальных категорий персональных данных государственных служащих Амурстата, граждан, претендующих на замещение должностей государственной службы Амурстата, может осуществляться без согласия указанных лиц в рамках целей, определенных разделом 3, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требуется письменное согласие граждан, претендующих на замещение указанных должностей).
4.4. Обработка персональных данных государственных служащих Амурстата, граждан, претендующих на замещение должностей федеральной государственной гражданской службы Амурстата, осуществляется при условии получения согласия указанных лиц в следующих случаях:
– при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных федеральными законами;
– при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
Согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
4.5. Обработка персональных данных государственных служащих Амурстата, граждан, претендующих на замещение должностей государственной службы Амурстата, осуществляется административным отделом, специалистом по защите государственной тайны (в целях оформления допуска к государственной тайне), и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных государственных служащих Амурстата, граждан, претендующих на замещение должностей государственной службы Амурстата, осуществляется путем:
– непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка и иные документы, предоставляемые в административный отдел);
– копирования оригиналов документов;
– внесения сведений в учетные формы (на бумажных и электронных носителях);
– формирования персональных данных в ходе их обработки;
– внесения персональных данных в информационные системы Амурстата, используемые кадровым подразделением Амурстата, административным отделом, а так же специалистом по защите государственной тайны (в целях оформления допуска к государственной тайне).
4.7. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.8. Запрещается получать, обрабатывать и приобщать к личному делу государственных служащих и работников Амурстата, граждан, претендующих на замещение должностей государственной службы Амурстата, персональные данные, не предусмотренные пунктом 4.1 настоящего раздела, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
Обработка биометрических и специальных категорий персональных данных государственных гражданских служащих и работников Амурстата, а также иных лиц, являющихся субъектами персональных данных, осуществляется с их письменного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации.
4.9. При сборе персональных данных уполномоченные сотрудники Амурстата, осуществляющие сбор (получение) персональных данных непосредственно от государственных служащих Амурстата, граждан, претендующих на замещение должностей государственной службы Амурстата, обязаны разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
4.10. Передача (распространение, предоставление) и использование персональных данных государственных служащих Амурстата, граждан, претендующих на замещение должностей государственной службы Амурстата, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
4.11. При передаче персональных данных оператор должен соблюдать следующие требования:
– не сообщать персональные данные третьей стороне без письменного оповещения субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
– обеспечивать конфиденциальность персональных данных;
– разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.12. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде (посредством внутренней локальной вычислительной сети).
4.13. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов персональных данных распространяются на материальные носители информации.
4.14. Порядок передачи персональных данных на электронных носителях, а также информации, находящейся в базах данных информационных систем персональных данных, определяется распорядительными документами Амурстата.
5. Сроки обработки и условия хранения персональных данных, связанных с реализацией служебных или трудовых отношений
5.1. Хранение персональных данных осуществляется на материальных носителях информации или в составе баз данных информационных систем персональных данных в соответствующих структурных подразделениях Амурстата, с соблюдением предусмотренных нормативными правовыми актами Российской Федерации мер по защите персональных данных.
5.2. Структурные подразделения Амурстата, хранящие персональные данные на материальных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением Правительства Российской Федерации от 15.09.2008 № 687.
5.3. Структурные подразделения Амурстата, хранящие персональные данные в информационных системах персональных данных, обеспечивают их защиту в соответствии с требованиями, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5.4. В целях обеспечения сохранности персональных данных и исключения несанкционированного к ним доступа, руководителем Амурстата принимаются локальные акты по пропускному режиму, противопожарной безопасности, антивирусному контролю и т.п.
5.5. Сроки обработки и хранения персональных данных государственных служащих Амурстата, граждан, претендующих на замещение должностей государственной службы Амурстата, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных государственных служащих:
– персональные данные, содержащиеся в личных делах государственных служащих Амурстата и приказах по личному составу (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении Амурстата до дня увольнения гражданского служащего с гражданской службы с последующим формированием и передачей указанных документов в архив Амурстата, где хранятся в соответствии с требованиями законодательства Российской Федерации об архивном деле;
– персональные данные, содержащиеся в приказах о поощрениях, материальной помощи государственных служащих Амурстата, подлежат хранению в течение 1-3 лет в кадровом подразделении с последующим формированием и передачей указанных документов в архив Амурстата в порядке, установленном законодательством Российской Федерации, где хранятся в течение 75 лет;
– персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях государственных служащих Амурстата, подлежат хранению в кадровом подразделении в течение пяти лет с последующим уничтожением;
– персональные данные, содержащиеся в документах претендентов на замещение вакантных должностей государственной службы Амурстата, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Амурстата в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению;
– персональные данные, содержащиеся в лицевых счетах гражданских служащих, подлежат хранению в административном отделе Амурстата до конца календарного года с последующим формированием и передачей указанных документов в архив Амурстата, где хранятся в соответствии с требованиями законодательства Российской Федерации об архивном деле;
– персональные данные, содержащиеся в больничных листах гражданских служащих Амурстата, подлежат хранению в административном отделе в течение пяти лет с последующим уничтожением;
– сведения о начисленных и уплаченных страховых взносах на обязательное пенсионное страхование и страховом стаже застрахованных лиц подлежат хранению в административном отделе Амурстата до конца календарного года с последующим формированием и передачей указанных документов в архив Амурстата, где хранятся в соответствии с требованиями законодательства Российской Федерации об архивном деле;
– сведения о доходах физических лиц подлежат хранению в административном отделе Амурстата до конца календарного года с последующим формированием и передачей указанных документов в архив Амурстата, где хранятся в соответствии с требованиями законодательства Российской Федерации об архивном деле.
5.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
5.7. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим документом.
Во избежание несанкционированного доступа к персональным данным их хранение должно осуществляться в сейфах, металлических шкафах или специальных помещениях, позволяющих обеспечить их сохранность, под ответственность уполномоченных лиц.
5.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют начальники соответствующих структурных подразделения Амурстата.
5.9. Срок хранения персональных данных, внесенных в информационные системы персональных данных Амурстата должен соответствовать сроку хранения бумажных оригиналов.
6. Обработка персональных данных, полученных в ходе статистических наблюдений
6.1. Сбор и обработка персональных данных в целях формирования официальной статистической информации осуществляется при условии обязательного обезличивания, в соответствии с требованиями пункта 4 статьи 9 Закона № 282-ФЗ.
6.2. Специалисты Амурстата, имеющие доступ к персональным данным, полученным в ходе статистических наблюдений, в обязательном порядке подписывают соглашение о неразглашении информации, содержащей персональные данные. Контроль ознакомления с Соглашением осуществляет начальник отдела.
6.3. Список форм федерального статистического наблюдения, содержащих персональные данные, и отделов, осуществляющих их обработку, ежегодно подлежит актуализации в соответствии с федеральным планом статистических работ.
6.4. Обработка форм, содержащих персональные данные, ведется с обязательным обезличиванием, что обеспечивается линией отрыва на каждом бланке.
6.5. После выполнения процедуры обезличивания (отрыва) сотрудники сдают начальнику отдела части бланков, содержащие персональные данные, продолжая обработку уже обезличенных сведений.
6.6. Статистическая отчетность, поступившая в электронном виде и заверенная электронной цифровой подписью, автоматически записывается в электронный архив электронных версий форм статистической отчетности, который предназначен для накопления, надежного долговременного хранения и использования юридически значимых электронных документов, формируемых в процессе электронного сбора статистической отчетности.
6.7 Ведение электронного архива осуществляется в соответствии с Регламентом работы с электронным архивом.
6.8. Ответственный специалист, имеющий доступ к персональным данным, полученным в ходе статистических наблюдений, помещает персональные данные в упаковку, исключающую возможность извлечения содержимого без ее нарушения (непрозрачный полиэтиленовый пакет или плотную бумагу). Упаковка запечатывается с использованием ярлыка (Образец) и хранится в сейфах до уничтожения.
6.9. Хранение персональных данных осуществляется в запирающихся шкафах либо сейфах, находящихся в служебных кабинетах структурных подразделений Амурстата, позволяющих обеспечить их сохранность.
6.10. Уничтожение персональных данных осуществляется ежегодно (не позднее 20 декабря) по решению Экспертной комиссии Амурстата.
Уничтожению подлежат только те персональные данные, срок хранения которых на текущий момент истек.
Упаковки вскрываются в присутствии всех членов комиссии, проверяется соответствие содержимого упаковки и заявленного в описи, наклеенной на упаковке. В случае несовпадения составляется акт, заверенный подписями всех членов комиссии. В случае полного соответствия носители персональных данных уничтожаются путем измельчения, о чем также составляется акт, заверенный подписями всех членов комиссии.
7. Обработки персональных данных пользователей официального Интернет-сайта Амурстата
7.1 Сайт — официальный сайт Амурстата (28.rosstat.gov.ru).
7.2 Пользователь сайта Амурстата (далее Пользователь) – лицо, имеющее доступ к сайту Амурстата, посредством сети Интернет и использующее информацию, материалы и продукты сайта Амурстата.
7.3 «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
7.4 «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на Сайт.
7.5 Использование Сайта Пользователем означает согласие с настоящей Политикой.
7.6. В случае несогласия с условиями настоящей Политики Пользователь должен прекратить использование Сайта.
7.7. Настоящая Политика применяется к Сайту. Амурстат не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте.
7.8. Персональные данные Пользователя Сайта, разрешённые к обработке в рамках настоящей Политики, предоставляются Пользователем путём заполнения формы в целях регистрации в личном кабинете, записи на прием к руководителю Амурстат, заместителям руководителя Амурстата и начальникам отделов Амурстата и с целью получения Пользователем обратной связи на Сайте и включают в себя следующую информацию:
– ФИО;
– Наименование организации (юридического лица);
– Email;
– Телефон;
– Регион;
– Населенный пункт;
– Улица;
– Почтовый индекс;
– Дом;
– Корпус/строение;
– Квартира
7.9. Персональные данные Пользователя не передаются третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства Российской Федерации.
7.10. Трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу) не осуществляется.
7.11. Амурстат обрабатывает персональные данные Пользователя только в случае их отправки Пользователем через формы, расположенные на сайте. Отправляя свои персональные данные через формы, расположенные на сайте, Пользователь выражает свое согласие с данной Политикой.
8. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации
8.1. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
8.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Амурстат полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
– типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес Амурстата, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
– типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
– типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;
– типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
8.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
8.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
8.5. Лица, уполномоченные на осуществление обработки персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, правилах такой обработки, о категориях обрабатываемых ими персональных данных, в соответствии с занимаемой должностью.
9. Доступ к персональным данным и действия с ними
9.1. Право доступа и разграничение прав доступа к персональным данным субъектов определяются приказами руководителя Амурстата.
9.2. Для исполнения своих должностных обязанностей право доступа к персональным данным субъекта персональных данных могут иметь:
– непосредственный руководитель структурного подразделения, в котором обрабатываются персональные данные;
– администраторы баз данных информационных систем персональных данных;
– администраторы безопасности информационных систем персональных данных;
– пользователи информационных систем персональных данных, имеющие допуск к персональным данным и осуществляющие их обработку;
– сам субъект персональных данных.
9.3. Перечни должностей государственных гражданских служащих Амурстата, уполномоченных на обработку персональных данных и (или) имеющих доступ к персональным данным утверждается руководителем Амурстата.
9.4. Субъект персональных данных имеет право:
– получать доступ к своим персональным данным для ознакомления с ними, включая право на получение копии любой записи, содержащей его персональные данные;
– требовать от оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных;
– получать от оператора:
а) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
б) перечень обрабатываемых персональных данных и источник их получения;
в) информацию о сроках обработки персональных данных, в том числе сроках их хранения;
г) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;
– обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона РФ «О персональных данных» № 152-ФЗ от 27.07.2006 или иным образом нарушает его права.
9.5 В случае выявления недостоверных персональных данных субъекта или неправомерных действий с ними оператора (при обращении или по запросу гражданина, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных), оператор обязан осуществить блокирование на период проверки персональных данных, относящихся к соответствующему субъекту, с момента такого обращения или получения такого запроса.
9.6. В случае подтверждения факта недостоверности персональных данных субъекта оператор на основании документов, представленных гражданином, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
9.7. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения.
В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить гражданина, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить гражданина, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
9.9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней от даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, договором или соглашением между оператором и субъектом персональных данных.
Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
9.10. В случае отказа субъекта в предоставлении своих персональных данных при трудоустройстве заключение с ним служебного контракта (трудового договора) не представляется возможным.
Разъяснения субъекту персональных данных юридических последствий отказа в предоставлении своих персональных данных реализуются в документарном виде в соответствии с типовой формой.
9.11. Доступ работников Амурстата в помещения, в которых ведется обработка персональных данных, осуществляется согласно утвержденному приказом руководителя Амурстата порядку доступа.
10. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
10.1. В Амурстате ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
10.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются на заседании экспертной комиссии Амурстата одновременно.
Описи и акты утверждаются заместителем руководителя только после утверждения описей дел постоянного хранения и рассмотрения актов о выделении к уничтожению документов экспертной комиссией.
10.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.
10.4. По окончании процедуры уничтожения структурным подразделением составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп «Уничтожено. Акт (дата, №)», заверяется подписью членов специальной комиссии, гражданского служащего или работника, осуществляющего учет документов, содержащих персональные данные.
10.5. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины, путем измельчения документов на куски, гарантирующие невозможность восстановления текста.
10.6. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
11. Внутренний контроль соблюдения требований действующего законодательства при обработке персональных данных
11.1. Приказами руководителя Амурстата:
– назначается должностное лицо из числа государственных служащих Амурстата, ответственное за организацию обработки персональных данных;
– утверждаются документы, определяющие политику оператора в отношении обработки персональных данных, а также включающие меры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в сфере персональных данных.
11.2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям:
– осуществляется мониторинг условий обработки и хранения персональных данных в Амурстате;
– проводятся проверки условий обработки и хранения персональных данных в Амурстате.
Осуществление мониторинга организуется должностным лицом, ответственным за организацию обработки персональных данных.
О результатах мониторинга, выявленных нарушениях и мерах, необходимых для устранения выявленных нарушений, должностное лицо, ответственное за организацию обработки персональных данных, докладывает руководителю Амурстата не реже одного раза в полугодие.
11.3. Ответственный за обработку персональных данных организует ознакомление государственных служащих Амурстата, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами Амурстата по вопросам обработки персональных данных.
12. Реализация требований к защите персональных данных.
В соответствии со статьей 7 Закона № 152-ФЗ оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные.
Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры защиты персональных данных, реализуемые в рамках системы защиты информации информационной системы, направленные на исключение:
– неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
– неправомерного уничтожения или модифицирования информации (обеспечение целостности информации);
– неправомерного блокирования информации (обеспечение доступности информации).
Для предотвращения несанкционированного доступа к персональным данным применяются следующие организационно-технические меры:
– назначены должностные лица, ответственные за организацию обработки и защиты персональных данных;
– ограничен состав лиц, имеющих доступ к персональным данным;
– организован учет, хранение и обращение носителей информации;
– определены угрозы безопасности персональных данных при их обработке, разработана на их основе модель угроз;
– разработана на основе модели угроз система защиты персональных данных;
– при передаче персональных данных в электронном виде используются защищенные каналы связи;
– разграничен доступ пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
– ведется регистрация и учет действий пользователей информационных систем персональных данных;
– используются антивирусные средства и средства восстановления системы защиты персональных данных;
– проведена аттестация сегмента информационной системы персональных данных «Автоматизированная система управления кадровыми и финансовыми ресурсами Росстата» в Амурстате;
– применяются средства межсетевого экранирования, обнаружения вторжений, анализа защищенности персональных данных;
– применяются процедуры обезличивания персональных данных, полученных в ходе статистических наблюдений, перед размещением в открытом доступе на сайте Росстата;
– организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
13. Ответственность за нарушение норм, регулирующих обработку персональных данных
Государственные служащие и работники Амурстата, допустившие нарушение требований законодательства в сфере обработки персональных данных, привлекаются к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в соответствии с Федеральным законом от 24.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федеральным законом от 26.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Уголовным кодексом Российской Федерации.