О персональных данных

Приложение
к приказу Региональной службы
от «_23_» __11__ 2016 № ___37___

Политика обработки персональных данных Региональной службы государственного строительного надзора Ростовской области

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее – Политика):
 является основополагающим внутренним документом Региональной службы государственного строительного надзора Ростовской области (далее – Региональная служба), регулирующим вопросы обработки персональных данных (далее – ПДн);
 разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты ПДн должностных лиц, граждан;
 раскрывает основные категории персональных данных, обрабатываемых Региональной службой, цели, способы и принципы обработки, права и обязанности Региональной службы при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Региональной службой в целях обеспечения безопасности персональных данных при их обработке;
 предназначена для должностных лиц Региональной службы, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Региональной службы при обработке персональных данных.

2. Источники нормативного правового регулирования вопросов обработки персональных данных

2.1. Политика Региональной службы в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:

 Конституция Российской Федерации;
 Трудовой кодекс Российской Федерации;
 Гражданский кодекс Российской Федерации;
 Налоговый кодекс Российской Федерации;
 Уголовный кодекс Российской Федерации;
 Федеральный закон от 27.07.2006 № 152 ФЗ «О персональных данных»;
 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
 Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
 Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
 Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
 нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.

2.2. Во исполнение настоящей Политики в Региональной службе правовыми актами утверждаются следующие документы:

 Инструкция администратора информационной безопасности информационных систем персональных данных;
 Инструкция администратора информационных систем персональных данных;
 Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях;
 Инструкция по организации антивирусной защиты информационных систем персональных данных;
 Инструкция по порядку проведения проверок состояния защиты персональных данных;
 План внутренних проверок состояния защиты персональных данных;
 Инструкция Пользователя информационных систем персональных данных;
 Перечень персональных данных, обрабатываемых в Региональной службе;
 План мероприятий по защите персональных данных;
 Положение о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных Региональной службы;
 Акт классификации информационных систем персональных данных Региональной службы;
 Модель угроз и нарушителя безопасности персональных данных информационных систем персональных данных Региональной службы;
 и иные документы Региональной службы, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3. Основные термины и понятия, используемые в документах Региональной службы государственного строительного надзора Ростовской области, принимаемых по вопросу обработки персональных данных

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в Региональной службе, локальными актами Региональной службы.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.

Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному кругу.

Использование персональных данных – действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.

Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Информационная система персональных данных – информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.

Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Общедоступные персональные данные – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Общие условия обработки персональных данных

4.1. Обработка ПДн в Региональной службе осуществляется на основе следующих принципов:

4.1.1. Законности и справедливости обработки ПДн.

4.1.2. Законности целей и способов обработки ПДн и добросовестности.

4.1.3. Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Региональной службы.

4.1.4. Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.

4.1.5. Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.

4.1.6. Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

4.1.7. Хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

4.1.8. Уничтожения обрабатываемых ПДн либо обезличивания по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.1.9. Признания субъекта ПДн собственником своих ПДн и самостоятельности принятия им решения вопроса передачи Региональной службе своих ПДн.

4.1.10. Осуществления функции владения ПДн субъекта, которые субъект передает во владение Региональной службе, и обладания полномочиями распоряжения ими в пределах, установленных законодательством

4.1.11. Принятия комплекса мер по защите ПДн, направленного на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечения безопасности информации в процессе деятельности Региональной службы.

4.1.12. Обязательности принятия Региональной службой при обработке ПДн необходимых организационных и технических мер, в том числе использования шифровальных (криптографических) средств для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.

4.1.13. Определения мероприятий по защите ПДн Положением, приказами, инструкциями и другими внутренними документами Региональной службы.

4.2. Для защиты ПДн в Региональной службе применяются следующие принципы и правила:

4.2.1. Ограничение и регламентация состава должностных лиц, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.

4.2.2. Строгое избирательное и обоснованное распределение документов и информации между должностными лицами.

4.2.3. Рациональное размещение рабочих мест должностных лиц, при котором исключалось бы бесконтрольное использование защищаемой информации.

4.2.4. Знание должностными лицами требований нормативно-методических документов по защите ПДн.

4.2.5. Распределение персональной ответственности между должностных лицами, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.

4.2.6. Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.

4.2.7. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

4.2.8. Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.

4.2.9. Организация порядка уничтожения персональных данных.

4.2.10. Своевременное выявление нарушений требований разрешительной системы доступа.

4.2.11. Воспитательная и разъяснительная работа с должностными лицами по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

4.2.12. Регулярное обучение должностных лиц по вопросам, связанным с обеспечением безопасности ПДн.

4.2.13. Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.

4.2.14. Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

4.2.15. Резервирование защищаемых данных (создание резервных копий).

4.3. Целью обработки персональных данных является получение и обработка сведений, необходимых для реализации государственных функций осуществления государственного строительного надзора, контроля и надзора за долевым строительством, составления протоколов и рассмотрения дел об административных правонарушениях, учета персональных данных государственных служащих.