ПОЛИТИКА
в отношении обработки персональных данных государственным органом Уполномоченный Омской области по правам человека
I. Общие положения
Настоящая Политика в отношении обработки персональных данных государственным органом Уполномоченный Омской области по правам человека (далее – Политика) разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных в государственном органе Уполномоченный Омской области по правам человека, организационное обеспечение которого осуществляет аппарат Уполномоченного Омской области по правам человека (далее – аппарат Уполномоченного).
Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – аппарат Уполномоченного Омской области по правам человека (далее – аппарат Уполномоченного), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Аппарат Уполномоченного и иные лица, получившие доступ к персональным данным на основании заключаемого с этим лицом договора, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
II. Цели обработки персональных данных
Персональные данные обрабатываются аппаратом Уполномоченного в следующих целях:
выполнение требований законодательства Российской Федерации по вопросам:
трудовых отношений;
рассмотрения обращений граждан Российской Федерации;
воинской обязанности и военной службы;
государственной гражданской службы Омской области;
награждения государственными наградами Российской Федерации, государственными наградами Омской области, наградами высших органов государственной власти Омской области, почетными званиями Омской области и благодарственными письмами Губернатора Омской области;
реализация аппаратом Уполномоченного государственных функций.
5. Обработка аппаратом Уполномоченного персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Аппаратом Уполномоченного не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
III. Правовые основания обработки персональных данных
6. Правовым основанием обработки аппаратом Уполномоченного персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми аппарат Уполномоченного осуществляет обработку персональных данных.
7. Правовым основанием обработки аппаратом Уполномоченного персональных данных являются:
Трудовой кодекс Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
Гражданский кодекс Российской Федерации от 30 ноября 1994 года № 51-ФЗ;
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
Федеральный закон от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
IV. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
8. Содержание и объем обрабатываемых аппаратом Уполномоченного персональных данных соответствуют заявленным целям обработки. Обрабатываемые аппаратом Уполномоченного персональные данные не являются избыточными по отношению к заявленным целям их обработки.
9. Обработке аппаратом Уполномоченного подлежат персональные данные следующих категорий субъектов персональных данных:
лица, являющиеся работниками аппарата Уполномоченного (лица, замещающие должности государственной гражданской службы Омской области и лица, замещающие должности, не относящиеся к должностям государственной гражданской службы Омской области);
лица, являющиеся близкими родственниками государственных гражданских служащих Омской области, являющихся работниками аппарата Уполномоченного (супруг(а) и несовершеннолетние дети);
лица, не являющиеся работниками аппарата Уполномоченного, претендующие или состоящие в резерве государственной гражданской службы Омской области и (или) управленческих кадров;
лица, не являющиеся работниками аппарата Уполномоченного, обратившиеся в аппарат Уполномоченного с ходатайством, обращением, заявлением или жалобой;
лица, не являющиеся работниками аппарата Уполномоченного, представленные Уполномоченным Омской области по правам человека к государственным наградам Российской Федерации, государственным наградам Омской области, наградам высших органов государственной власти Омской области, почетным званиям Омской области и благодарственному письму Губернатора Омской области;
лица, не являющиеся работниками аппарата Уполномоченного, проходящие учебную практику в аппарате Уполномоченного;
лица, не являющиеся работниками аппарата Уполномоченного, персональные данные которых обрабатываются на основании заключенного аппаратом Уполномоченного с юридическими лицами соглашения;
лица, не являющиеся работниками аппарата Уполномоченного, принимающие участие в творческих конкурсах правозащитной тематики, объявленных Уполномоченным Омской области по правам человека, в том числе признанные победителями данных конкурсов;
лица, не являющиеся работниками аппарата Уполномоченного, оказывающие Уполномоченному Омской области по правам человека содействие по защите прав и свобод человека в муниципальных районах Омской области (представители на общественных началах).
V. Порядок и условия обработки персональных данных
11. Аппарат Уполномоченного осуществляет следующие действия с персональными данными субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
12. Аппарат Уполномоченного осуществляет обработку персональных данных как с использованием средств автоматизации, так и без использования средств автоматизации.
13. Аппарат Уполномоченного не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
14. Аппарат Уполномоченного вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
15. Условием прекращения обработки персональных данных аппаратом Уполномоченного является:
достижение целей обработки персональных данных;
истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных;
ликвидация аппарата Уполномоченного;
выявление неправомерной обработки персональных данных.
16. Аппарат Уполномоченного при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с требованиями, предусмотренные статьями 18.1 и 19 Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), а также иными нормативными правовыми актами по вопросам защиты персональных данных.
17. Хранение персональных данных аппаратом Уполномоченного осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
18. При осуществлении хранения персональных данных, аппарат Уполномоченного использует базы данных, находящиеся на территории Российской Федерации.
19. При осуществлении хранения персональных данных на материальных носителях, аппарат Уполномоченного соблюдает условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
VI. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
20. В случае выявления факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации аппаратом Уполномоченного, а их обработка должна быть прекращена.
21. При достижении аппаратом Уполномоченного целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
аппарат Уполномоченного не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
иное не предусмотрено иным соглашением между аппаратом Уполномоченного и субъектом персональных данных.
22. Аппарат Уполномоченного обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
VII. Правила рассмотрения запросов субъектов персональных данных
23. Субъект или его представитель имеют право на получение информации в аппарате Уполномоченного, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
цели и применяемые аппаратом Уполномоченного способы обработки персональных данных;
наименование и место нахождения аппарата Уполномоченного, сведения о лицах (за исключением работников аппарата Уполномоченного), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с аппаратом Уполномоченного или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению аппарата Уполномоченного, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
24. Сведения, указанные в п. 23 настоящего Положения, должны предоставляться субъекту персональных данных или его представителю при обращении в аппарат Уполномоченного, либо при получении запроса субъекта персональных данных или его представителя.
25. Запрос субъекта персональных данных должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с аппаратом Уполномоченного;
фактический адрес места проживания субъекта персональных данных или его представителя;
подпись субъекта персональных данных или его представителя.
26. Запрос субъекта или его представителя может быть направлен в аппарат Уполномоченного в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
27. Сведения, указанные в п. 23 настоящего Положения, должны быть предоставлены субъекту или его представителю в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
28. Субъект персональных данных или его представитель вправе требовать от аппарата Уполномоченного уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
29. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных».
30. Все поступившие в аппарат Уполномоченного запросы регистрируются ответственным за организацию обработки персональных данных в аппарате Уполномоченного в день их поступления в журнале регистрации запросов субъектов персональных данных. На запросе указывается входящий номер и дата регистрации.
31. Рассмотрение запросов субъектов персональных данных и подготовку ответов осуществляют работники аппарата Уполномоченного, обрабатывающие персональные данные в соответствии с их должностным регламентом (инструкцией). Направление аппаратом Уполномоченного ответа на запрос субъекта персональных данных не может превышать пяти рабочих дней с даты регистрации запроса субъекта персональных данных.
32. Ответ аппарата Уполномоченного на запрос субъекта персональных данных направляется в виде заказного письма с уведомлением в адрес, указанный в запросе субъекта персональных данных или его представителя.
33. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных аппарат Уполномоченного обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных аппарат Уполномоченного обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
34. В случае отзыва субъектом персональных данных или его представителем согласия на обработку его персональных данных аппарат Уполномоченного обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между аппаратом Уполномоченного и субъектом персональных данных, либо если аппарат Уполномоченного не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
35. Если субъект персональных данных считает, что аппарат Уполномоченного осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие аппарата Уполномоченного в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.