Приложение к Приказу от 20.01.2012 г № 97-СПР Положение
Положение об обработке и защите персональных данных в службе архитектуры иркутской области
1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1.Настоящее Положение об обработке и защите персональных данных в службе архитектуры Иркутской области (далее - Положение) устанавливает порядок получения, обработки, использования, хранения и гарантии конфиденциальности персональных данных физических лиц, необходимых для осуществления его деятельности, в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", нормативно-правовыми актами Российской Федерации в области защиты информации, трудовых отношений, нормативными и распорядительными документами Правительства Иркутской области.
1.2.Задачей службы архитектуры Иркутской области в области защиты персональных данных является обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных государственных гражданских служащих службы архитектуры Иркутской области, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных.
1.3.Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области защиты информации, трудовых отношений, нормативными и распорядительными Правительства Иркутской области, перечнем персональных данных, обрабатываемых в службе архитектуры Иркутской области (Приложение 1). В исключительных случаях допускается временная обработка иных видов персональных данных, включенных в перечни персональных данных, обрабатываемых в структурных подразделениях, по указанию руководителя службы архитектуры Иркутской области.
1.4.Оператором персональных данных (далее - Оператор) является служба архитектуры Иркутской области. Допускается привлекать для обработки персональных данных иные организации (уполномоченные лица) на основе договоров и соглашений.
1.5.Инструкции по обработке и защите персональных данных, разрабатываемые в соответствии с настоящим Положением, утверждаются председателем постоянно действующей технической комиссии службы архитектуры Иркутской области.
2.ПОРЯДОК ПОЛУЧЕНИЯ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1.Получение персональных данных осуществляется в соответствии с нормативными правовыми актами Российской Федерации в области трудовых отношений, нормативными и распорядительными документами Правительства Иркутской области, настоящим Положением на основе служебных контрактов с согласия субъектов персональных данных. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
2.2.Без согласия субъектов персональных данных осуществляется обработка персональных данных, содержащих только фамилии, имена и отчества, обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, оформление разовых пропусков, обработка персональных данных для исполнения служебных контрактов или без использования средств автоматизации и в случаях, предусмотренных законодательством Российской Федерации.
2.3.Обработка и использование персональных данных осуществляется в целях, указанных в соглашениях с субъектами персональных данных, а также в случаях, предусмотренных нормативно-правовыми актами Российской Федерации и настоящим Положением. Не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
2.4.В случае увольнения субъекта персональных данных и иного достижения целей обработки персональных данных, зафиксированных в письменном соглашении, Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством и настоящим Положением.
2.5.Персональные данные могут храниться в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативными правовыми актами Российской Федерации мер по защите персональных данных. Право на обработку персональных данных предоставляется по занимаемой должности государственным гражданским служащим по утвержденному перечню (Приложение 2), а также персонально иным лицам в соответствии с приказами службы архитектуры Иркутской области.
2.6.Правила обработки и использования персональных данных, включая сроки хранения содержащих персональные данные оригиналов документов или копий документов на записываемых оптических носителях, предназначенных для архивного хранения, устанавливаются приказами, регламентами и инструкциями Оператора. Правила обработки и использования электронных копий персональных данных на иных носителях, включая сроки их хранения, могут конкретизироваться в инструкциях по использованию соответствующих информационных систем.
2.7.Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора.
3.ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.В целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", за исключением случаев, предусмотренных данным Федеральным законом, имеет право:
- на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;
- требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- на получение при обращении или при направлении запроса информации, касающейся обработки его персональных данных;
- на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3.2.Оператор обязан безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
3.3.В случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя.
3.4.В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, договором или соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
3.5.Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.
3.6.Оператор, а также должностные лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается на руководителя и должностных лиц Оператора, обрабатывающих персональные данные.