Приказ Госстроя РБ от 29.10.2014 N 309 "Об утверждении Политики в отношении обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре"
Зарегистрировано в Управлении РБ по организации деятельности мировых судей и ведению регистров правовых актов 22 декабря 2014 г. № 5907
-----------------------------------------------------------------------------
ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
ПРИКАЗ
от 29 октября 2014 г. № 309
ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННОМ КОМИТЕТЕ
РЕСПУБЛИКИ БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
В целях обеспечения режима конфиденциальности информации, содержащей персональные данные, обрабатываемой на объектах информатизации Государственного комитета Республики Башкортостан по строительству и архитектуре, в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" приказываю:
1. Утвердить прилагаемую Политику в отношении обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре.
2. Контроль за исполнением настоящего Приказа оставляю за собой.
Председатель
Х.М.МАХМУДОВ
Утверждено
Приказом Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 29 октября 2014 г. № 309
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Политика) определяет порядок создания, обработки и защиты персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Госстрой РБ).
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Федеральным законом от 9 февраля 2009 года № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления", Указом Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении Перечня сведений конфиденциального характера", Постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.3. Обработка персональных данных в Госстрое РБ осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
II. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей настоящей Политики применяются следующие термины и определения:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъекта персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств автоматизации;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральным законодательством не распространяется требование соблюдения конфиденциальности.
III. ОБЩИЕ ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Госстрой РБ должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
3.2. В целях обеспечения прав и свобод человека и гражданина Госстрой РБ и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ);
- обработка персональных данных субъектов персональных данных может осуществляться исключительно в целях решения вопросов, входящих в компетенцию Госстроя РБ;
- при определении объема и содержания обрабатываемых персональных данных субъекта персональных данных Госстрой РБ должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, законодательством Российской Федерации в сфере защиты персональных данных и обработки информации, Положением о Госстрое РБ и иными нормативными правовыми актами;
- Госстрой РБ не имеет права получать и обрабатывать персональные данные субъекта персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
- запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 статьи 16 Федерального закона № 152-ФЗ;
- Госстрой РБ обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;
- Госстрой РБ обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъект персональных данных о результатах рассмотрения такого возражения;
- сотрудники Госстроя РБ или их представители должны быть ознакомлены под личную подпись с документами Госстроя РБ, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
- обработку биометрических персональных данных необходимо производить в соответствии с требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3.3. Госстрой РБ вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного контракта (далее - поручение Госстроя РБ). Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Госстроя РБ должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
3.4. Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
3.5. В случае если Госстрой РБ поручает обработку персональных данных другому лицу, то ответственность перед субъектом персональных данных за действия указанного лица несет Госстрой РБ. Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, несет ответственность перед Госстроем РБ.
IV. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Получение персональных данных преимущественно осуществляется путем представления их субъектом персональных данных, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.
В случаях, предусмотренных законодательством, обработка персональных данных осуществляется только с согласия субъекта персональных данных в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи". Согласие субъекта персональных данных в письменной форме на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- адрес Госстроя РБ;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Госстроя РБ, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Госстроем РБ способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено законодательством;
- подпись субъекта персональных данных.
Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта персональных данных на обработку его персональных данных, дополнительное согласие не требуется.
4.2. Порядок хранения документов, содержащих персональные данные субъектов персональных данных, осуществляется в соответствии с правилами, устанавливающими порядок ведения и хранения трудовых книжек, порядок изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16 апреля 2003 года № 225 "О трудовых книжках", унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными Постановлением Государственного комитета Российской Федерации по статистике от 5 января 2004 года № 1, федеральными нормативными правовыми актами в области информации, информационных технологий и защиты персональных данных, Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558.
4.3. Персональные данные субъектов персональных данных хранятся на бумажных носителях и в электронном виде.
4.4. Госстрой РБ обеспечивает ограничение доступа к персональным данным субъектов персональных данных лицам, не уполномоченным законодательством, либо Госстроем РБ для получения соответствующих сведений.
4.5. Доступ к персональным данным субъектов персональных данных без специального разрешения имеют только должностные лица Госстроя РБ, допущенные к работе с персональными данными субъектов персональных данных в соответствии с приказом Госстроя РБ. Вышеуказанные должностные лица в обязательном порядке подписывают обязательство о неразглашении информации, содержащей персональные данные, и прекращении обработки персональных данных в случае расторжения служебного контракта.
V. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных в информационных системах персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативными правовыми актами уполномоченных федеральных органов исполнительной власти.
5.2. Сотрудникам Госстроя РБ, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных, предоставляется уникальный идентификатор для доступа к соответствующей информационной системе.
5.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение сертифицированных средств защиты информации;
- учет электронных носителей персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
VI. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
6.1. Обработка персональных данных без использования средств автоматизации должна осуществляться в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
6.2. Все действия по неавтоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, определенными приказом Госстроя РБ, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
6.3. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
6.5. Персональные данные субъектов персональных данных, содержащиеся на материальных носителях, уничтожаются по акту об уничтожении персональных данных.
6.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.7. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
6.8. Материальные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
VII. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" и иными нормативными правовыми актами Российской Федерации и Республики Башкортостан.
7.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
VIII. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯМИ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Госстрой РБ при обработке персональных данных субъектов персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона № 152-ФЗ.
8.3. Система защиты персональных данных включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
8.4. Выбор средств защиты информации для системы защиты персональных данных осуществляется Госстроем РБ в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона № 152-ФЗ.
8.5. Все действия при автоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, определенными приказом Госстроя РБ, и только в объеме, необходимом вышеуказанным лицам для выполнения своей трудовой функции.
8.6. Персональные компьютеры, имеющие доступ к базам хранения персональных данных субъектов персональных данных, защищаются паролями доступа. Пароли устанавливаются администратором информационной безопасности и сообщаются индивидуально сотруднику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных субъекта персональных данных на данном персональном компьютере.
8.7. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
- при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных;
- при использовании не лицензионного программного обеспечения и не сертифицированных средств защиты информации.
IX. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Госстроем РБ только с письменного согласия субъекта персональных данных, в соответствии с визой председателя Госстроя РБ, за исключением случаев:
- в целях предупреждения угрозы жизни и здоровью сотрудника Госстроя РБ, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
- связанных с выполнением сотрудником Госстроя РБ должностных обязанностей, в том числе при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными Постановлением Правительства Российской Федерации от 25 апреля 1997 года № 490, нормативными правовыми актами в сфере транспортной безопасности);
- передачи Госстроем РБ персональных данных государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы в соответствии с действующим законодательством Российской Федерации;
- при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о сотрудниках Госстроя РБ в соответствии с компетенцией, предусмотренной законодательством Российской Федерации;
- в иных случаях, предусмотренных законодательством Российской Федерации.
9.2. Передача персональных данных субъекта персональных данных третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой председателя Госстроя РБ при условии соблюдения требований, предусмотренных пунктом 9.1 настоящей Политики.
9.3. В целях соблюдения законодательства возможна передача без согласия субъекта персональных данных:
- документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о начисленных и уплаченных страховых взносах в соответствии с законодательством - в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации;
- персональных данных сотрудников Госстроя РБ кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы в следующих случаях:
а) договор на выпуск банковской карты заключался напрямую с сотрудником и в тексте которого предусмотрены положения, предусматривающие передачу Госстроем РБ персональных данных сотрудника;
б) наличие у Госстроя РБ доверенности на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании.
9.4. Передача сведений и документов, содержащих персональные данные сотрудника Госстроя РБ, осуществляется с его согласия. Согласие сотрудника Госстроя РБ оформляется письменно в виде отдельного документа. После получения согласия сотрудника Госстроя РБ дальнейшая передача указанных сведений и документов дополнительного письменного согласия не требует и в Журнале учета выданных персональных данных сотрудников Государственного комитета Республики Башкортостан по строительству и архитектуре по запросам третьих лиц не фиксируется.
Госстрой РБ обеспечивает ведение Журнала учета выданных персональных данных субъектов персональных данных по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае если лицо, обратившееся с запросом, не уполномочено законодательством на получение персональных данных субъекта персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Госстрой РБ обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается письменный мотивированный отказ в предоставлении персональных данных.
X. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В ОБЛАСТИ ЗАЩИТЫ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. В целях обеспечения защиты персональных данных, хранящихся в Госстрое РБ, субъекты персональных данных имеют право:
- на получение полной информации о составе и содержимом их персональных данных, а также способе обработки этих данных;
- на свободный доступ к своим персональным данным.
10.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Госстроем РБ;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Госстроем РБ способы обработки персональных данных;
- наименование и место нахождения Госстроя РБ, сведения о лицах (за исключением сотрудников Госстроя РБ), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Госстроем РБ или на основании Федерального закона № 152-ФЗ;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных действующим законодательством Российской Федерации;
- информацию об осуществленной или предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Госстроя РБ, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом № 152-ФЗ или иными нормативными правовыми актами Российской Федерации.
10.3. Сведения должны быть предоставлены субъекту персональных данных Госстроем РБ в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
10.4. Сведения предоставляются субъекту персональных данных или его представителю Госстроем РБ при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Госстроем РБ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Госстроем РБ, подпись гражданина или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.5. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться в Госстрой РБ или направить в Госстрой РБ повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.6. Субъект персональных данных вправе требовать от Госстроя РБ уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.7. В случае выявления неправомерной обработки персональных данных при обращении либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Госстрой РБ обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) с момента такого обращения или получения указанного запроса на период проверки.
10.8. В случае выявления неточных персональных данных при обращении либо по запросу субъекта персональных данных или его представителя или по запросу уполномоченного органа по защите прав субъектов персональных данных Госстрой РБ обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы гражданина или третьих лиц.
10.9. В случае подтверждения факта неточности персональных данных Госстрой РБ на основании сведений, представленных гражданином или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) в срок, не превышающий семи рабочих дней со дня представления таких сведений, и снять блокирование персональных данных.
10.10. В случае выявления неправомерной обработки персональных данных, осуществляемой Госстроем РБ (или лицом, действующим по поручению Госстроя РБ), Госстрой РБ в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ). В случае если обеспечить правомерность обработки персональных данных невозможно, Госстрой РБ в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Госстрой РБ обязан уведомить субъект персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.11. В случае достижения цели обработки персональных данных Госстрой РБ обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является гражданин, иным соглашением между Госстроем РБ и субъектом персональных данных, либо если Госстрой РБ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными нормативными правовыми актами Российской Федерации.
10.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Госстрой РБ обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Госстроем РБ и субъектом персональных данных, либо если Госстрой РБ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными нормативными правовыми актами Российской Федерации.
10.13. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Госстрой РБ осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен нормативными правовыми актами Российской Федерации.
10.14. Для своевременной и полной реализации своих прав субъект персональных данных обязан предоставить в Госстрой РБ достоверные персональные данные.
10.15. В рамках исполнения трудового законодательства субъект персональных данных обязан при приеме на работу предоставить в Госстрой РБ свои полные и достоверные персональные данные.
10.16. Для своевременной и полной реализации своих трудовых, пенсионных и иных прав сотрудник Госстроя РБ обязуется поставить в известность Госстрой РБ об изменении персональных данных, обрабатываемых в Госстрое РБ в связи с трудовыми отношениями, в том числе изменении фамилии, имени, отчества, паспортных данных, о получении образования, квалификации, получении инвалидности и иных медицинских заключений, препятствующих выполнению своих должностных обязанностей, с предоставлением подтверждающих документов.
10.17. В целях обеспечения защиты персональных данных субъект персональных данных имеет право на:
- полную информацию о хранящихся в Госстрое РБ его персональных данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации. Выдача документов, содержащих персональные данные сотрудников Госстроя РБ, осуществляется в соответствии со ст. 62 Трудового кодекса Российской Федерации, ст. 14 Федерального закона № 152-ФЗ;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе Госстроя РБ исключить или исправить персональные данные субъекта персональных данных он имеет право заявить в письменной форме в Госстрой РБ о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении Госстроем РБ всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия Госстроя РБ при обработке и защите его персональных данных.
10.18. Если субъект персональных данных или его законный представитель считает, что Госстрой РБ осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Госстроя РБ в уполномоченный орган по защите прав субъектов персональных данных или в суд.
------------------------------------------------------------------
Зарегистрировано в Управлении РБ по организации деятельности мировых судей и ведению регистров правовых актов 22 декабря 2014 г. № 5907
-----------------------------------------------------------------------------
ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
ПРИКАЗ
от 29 октября 2014 г. № 309
ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННОМ КОМИТЕТЕ
РЕСПУБЛИКИ БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
В целях обеспечения режима конфиденциальности информации, содержащей персональные данные, обрабатываемой на объектах информатизации Государственного комитета Республики Башкортостан по строительству и архитектуре, в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" приказываю:
1. Утвердить прилагаемую Политику в отношении обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре.
2. Контроль за исполнением настоящего Приказа оставляю за собой.
Председатель
Х.М.МАХМУДОВ
Утверждено
Приказом Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 29 октября 2014 г. № 309
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Политика) определяет порядок создания, обработки и защиты персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Госстрой РБ).
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Федеральным законом от 9 февраля 2009 года № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления", Указом Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении Перечня сведений конфиденциального характера", Постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.3. Обработка персональных данных в Госстрое РБ осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
II. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей настоящей Политики применяются следующие термины и определения:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъекта персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств автоматизации;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральным законодательством не распространяется требование соблюдения конфиденциальности.
III. ОБЩИЕ ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Госстрой РБ должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
3.2. В целях обеспечения прав и свобод человека и гражданина Госстрой РБ и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ);
- обработка персональных данных субъектов персональных данных может осуществляться исключительно в целях решения вопросов, входящих в компетенцию Госстроя РБ;
- при определении объема и содержания обрабатываемых персональных данных субъекта персональных данных Госстрой РБ должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, законодательством Российской Федерации в сфере защиты персональных данных и обработки информации, Положением о Госстрое РБ и иными нормативными правовыми актами;
- Госстрой РБ не имеет права получать и обрабатывать персональные данные субъекта персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
- запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 статьи 16 Федерального закона № 152-ФЗ;
- Госстрой РБ обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;
- Госстрой РБ обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъект персональных данных о результатах рассмотрения такого возражения;
- сотрудники Госстроя РБ или их представители должны быть ознакомлены под личную подпись с документами Госстроя РБ, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
- обработку биометрических персональных данных необходимо производить в соответствии с требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3.3. Госстрой РБ вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного контракта (далее - поручение Госстроя РБ). Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Госстроя РБ должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
3.4. Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
3.5. В случае если Госстрой РБ поручает обработку персональных данных другому лицу, то ответственность перед субъектом персональных данных за действия указанного лица несет Госстрой РБ. Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, несет ответственность перед Госстроем РБ.
IV. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Получение персональных данных преимущественно осуществляется путем представления их субъектом персональных данных, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.
В случаях, предусмотренных законодательством, обработка персональных данных осуществляется только с согласия субъекта персональных данных в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи". Согласие субъекта персональных данных в письменной форме на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- адрес Госстроя РБ;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Госстроя РБ, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Госстроем РБ способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено законодательством;
- подпись субъекта персональных данных.
Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта персональных данных на обработку его персональных данных, дополнительное согласие не требуется.
4.2. Порядок хранения документов, содержащих персональные данные субъектов персональных данных, осуществляется в соответствии с правилами, устанавливающими порядок ведения и хранения трудовых книжек, порядок изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16 апреля 2003 года № 225 "О трудовых книжках", унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными Постановлением Государственного комитета Российской Федерации по статистике от 5 января 2004 года № 1, федеральными нормативными правовыми актами в области информации, информационных технологий и защиты персональных данных, Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558.
4.3. Персональные данные субъектов персональных данных хранятся на бумажных носителях и в электронном виде.
4.4. Госстрой РБ обеспечивает ограничение доступа к персональным данным субъектов персональных данных лицам, не уполномоченным законодательством, либо Госстроем РБ для получения соответствующих сведений.
4.5. Доступ к персональным данным субъектов персональных данных без специального разрешения имеют только должностные лица Госстроя РБ, допущенные к работе с персональными данными субъектов персональных данных в соответствии с приказом Госстроя РБ. Вышеуказанные должностные лица в обязательном порядке подписывают обязательство о неразглашении информации, содержащей персональные данные, и прекращении обработки персональных данных в случае расторжения служебного контракта.
V. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных в информационных системах персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативными правовыми актами уполномоченных федеральных органов исполнительной власти.
5.2. Сотрудникам Госстроя РБ, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных, предоставляется уникальный идентификатор для доступа к соответствующей информационной системе.
5.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение сертифицированных средств защиты информации;
- учет электронных носителей персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
VI. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
6.1. Обработка персональных данных без использования средств автоматизации должна осуществляться в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
6.2. Все действия по неавтоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, определенными приказом Госстроя РБ, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
6.3. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
6.5. Персональные данные субъектов персональных данных, содержащиеся на материальных носителях, уничтожаются по акту об уничтожении персональных данных.
6.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.7. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
6.8. Материальные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
VII. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" и иными нормативными правовыми актами Российской Федерации и Республики Башкортостан.
7.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
VIII. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯМИ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Госстрой РБ при обработке персональных данных субъектов персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона № 152-ФЗ.
8.3. Система защиты персональных данных включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
8.4. Выбор средств защиты информации для системы защиты персональных данных осуществляется Госстроем РБ в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона № 152-ФЗ.
8.5. Все действия при автоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, определенными приказом Госстроя РБ, и только в объеме, необходимом вышеуказанным лицам для выполнения своей трудовой функции.
8.6. Персональные компьютеры, имеющие доступ к базам хранения персональных данных субъектов персональных данных, защищаются паролями доступа. Пароли устанавливаются администратором информационной безопасности и сообщаются индивидуально сотруднику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных субъекта персональных данных на данном персональном компьютере.
8.7. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
- при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных;
- при использовании не лицензионного программного обеспечения и не сертифицированных средств защиты информации.
IX. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Госстроем РБ только с письменного согласия субъекта персональных данных, в соответствии с визой председателя Госстроя РБ, за исключением случаев:
- в целях предупреждения угрозы жизни и здоровью сотрудника Госстроя РБ, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
- связанных с выполнением сотрудником Госстроя РБ должностных обязанностей, в том числе при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными Постановлением Правительства Российской Федерации от 25 апреля 1997 года № 490, нормативными правовыми актами в сфере транспортной безопасности);
- передачи Госстроем РБ персональных данных государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы в соответствии с действующим законодательством Российской Федерации;
- при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о сотрудниках Госстроя РБ в соответствии с компетенцией, предусмотренной законодательством Российской Федерации;
- в иных случаях, предусмотренных законодательством Российской Федерации.
9.2. Передача персональных данных субъекта персональных данных третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой председателя Госстроя РБ при условии соблюдения требований, предусмотренных пунктом 9.1 настоящей Политики.
9.3. В целях соблюдения законодательства возможна передача без согласия субъекта персональных данных:
- документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о начисленных и уплаченных страховых взносах в соответствии с законодательством - в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации;
- персональных данных сотрудников Госстроя РБ кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы в следующих случаях:
а) договор на выпуск банковской карты заключался напрямую с сотрудником и в тексте которого предусмотрены положения, предусматривающие передачу Госстроем РБ персональных данных сотрудника;
б) наличие у Госстроя РБ доверенности на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании.
9.4. Передача сведений и документов, содержащих персональные данные сотрудника Госстроя РБ, осуществляется с его согласия. Согласие сотрудника Госстроя РБ оформляется письменно в виде отдельного документа. После получения согласия сотрудника Госстроя РБ дальнейшая передача указанных сведений и документов дополнительного письменного согласия не требует и в Журнале учета выданных персональных данных сотрудников Государственного комитета Республики Башкортостан по строительству и архитектуре по запросам третьих лиц не фиксируется.
Госстрой РБ обеспечивает ведение Журнала учета выданных персональных данных субъектов персональных данных по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае если лицо, обратившееся с запросом, не уполномочено законодательством на получение персональных данных субъекта персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Госстрой РБ обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается письменный мотивированный отказ в предоставлении персональных данных.
X. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В ОБЛАСТИ ЗАЩИТЫ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. В целях обеспечения защиты персональных данных, хранящихся в Госстрое РБ, субъекты персональных данных имеют право:
- на получение полной информации о составе и содержимом их персональных данных, а также способе обработки этих данных;
- на свободный доступ к своим персональным данным.
10.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Госстроем РБ;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Госстроем РБ способы обработки персональных данных;
- наименование и место нахождения Госстроя РБ, сведения о лицах (за исключением сотрудников Госстроя РБ), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Госстроем РБ или на основании Федерального закона № 152-ФЗ;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных действующим законодательством Российской Федерации;
- информацию об осуществленной или предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Госстроя РБ, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом № 152-ФЗ или иными нормативными правовыми актами Российской Федерации.
10.3. Сведения должны быть предоставлены субъекту персональных данных Госстроем РБ в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
10.4. Сведения предоставляются субъекту персональных данных или его представителю Госстроем РБ при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Госстроем РБ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Госстроем РБ, подпись гражданина или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.5. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться в Госстрой РБ или направить в Госстрой РБ повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.6. Субъект персональных данных вправе требовать от Госстроя РБ уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.7. В случае выявления неправомерной обработки персональных данных при обращении либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Госстрой РБ обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) с момента такого обращения или получения указанного запроса на период проверки.
10.8. В случае выявления неточных персональных данных при обращении либо по запросу субъекта персональных данных или его представителя или по запросу уполномоченного органа по защите прав субъектов персональных данных Госстрой РБ обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы гражданина или третьих лиц.
10.9. В случае подтверждения факта неточности персональных данных Госстрой РБ на основании сведений, представленных гражданином или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) в срок, не превышающий семи рабочих дней со дня представления таких сведений, и снять блокирование персональных данных.
10.10. В случае выявления неправомерной обработки персональных данных, осуществляемой Госстроем РБ (или лицом, действующим по поручению Госстроя РБ), Госстрой РБ в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ). В случае если обеспечить правомерность обработки персональных данных невозможно, Госстрой РБ в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Госстрой РБ обязан уведомить субъект персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.11. В случае достижения цели обработки персональных данных Госстрой РБ обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является гражданин, иным соглашением между Госстроем РБ и субъектом персональных данных, либо если Госстрой РБ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными нормативными правовыми актами Российской Федерации.
10.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Госстрой РБ обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Госстроя РБ) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Госстроем РБ и субъектом персональных данных, либо если Госстрой РБ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными нормативными правовыми актами Российской Федерации.
10.13. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Госстрой РБ осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен нормативными правовыми актами Российской Федерации.
10.14. Для своевременной и полной реализации своих прав субъект персональных данных обязан предоставить в Госстрой РБ достоверные персональные данные.
10.15. В рамках исполнения трудового законодательства субъект персональных данных обязан при приеме на работу предоставить в Госстрой РБ свои полные и достоверные персональные данные.
10.16. Для своевременной и полной реализации своих трудовых, пенсионных и иных прав сотрудник Госстроя РБ обязуется поставить в известность Госстрой РБ об изменении персональных данных, обрабатываемых в Госстрое РБ в связи с трудовыми отношениями, в том числе изменении фамилии, имени, отчества, паспортных данных, о получении образования, квалификации, получении инвалидности и иных медицинских заключений, препятствующих выполнению своих должностных обязанностей, с предоставлением подтверждающих документов.
10.17. В целях обеспечения защиты персональных данных субъект персональных данных имеет право на:
- полную информацию о хранящихся в Госстрое РБ его персональных данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации. Выдача документов, содержащих персональные данные сотрудников Госстроя РБ, осуществляется в соответствии со ст. 62 Трудового кодекса Российской Федерации, ст. 14 Федерального закона № 152-ФЗ;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе Госстроя РБ исключить или исправить персональные данные субъекта персональных данных он имеет право заявить в письменной форме в Госстрой РБ о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении Госстроем РБ всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия Госстроя РБ при обработке и защите его персональных данных.
10.18. Если субъект персональных данных или его законный представитель считает, что Госстрой РБ осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Госстроя РБ в уполномоченный орган по защите прав субъектов персональных данных или в суд.
------------------------------------------------------------------