Политика обработки персональных данных в Фонде развития промышленности Тульской области
1. Общие положения.
1.1. Настоящая Политика обработки персональных данных в Фонде развития промышленности Тульской области (далее-Политика):
- разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в Фонде развития промышленности Тульской области (далее-Фонд);
- предназначена для работников Фонда, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а так же является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Фонда при обработке персональных данных.
2. Источники нормативного правового регулирования вопросов обработки персональных данных.
2.1. Политика Фонда в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Устав (Положение) Фонда;
- Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 02.05.2006г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Указ Президента РФ от 06.03.1997г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении Состава и содержания организованных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18.02.2013г. № 21 «Об утверждении Состава и содержания организованных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Минкомсвязи России от 14.11.2011г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных законодательства Российской Федерации в области персональных данных»;
- Другими правовыми актами Российской Федерации, правовыми актами Тульской области.
3. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности Фонда.
4. Персональные данные собираются и обрабатываются Фондом исключительно на законных основаниях, с согласия субъектов персональных данных, в целях исполнения трудовых договоров, в целях исполнения договорных обязательств с органами исполнительной власти Тульской области и другими организациями и учреждениями Тульской области, в соответствии с учредительными документами.
5. Предоставляя свои персональные данные в Фонд, субъект персональных данных подтверждает свое согласие на их обработку любым способом в целях, в порядке и объеме, установленных действующим законодательством Российской Федерации.
6. Общие условия обработки персональных данных.
6.1. Обработка персональных данных осуществляется в Фонде на основе следующих принципов:
6.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
6.1.2. Обработка персональных данных должна быть ограничена достижением конкретных, заранее определенных и законных целей.
6.1.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.1.5. Допускается обработка исключительно тех персональных данных, которые отвечают целям их обработки.
6.1.6. Содержание и объем персональных данных должны соответствовать заявленным целям обработки.
6.1.7. Не допускается обработка персональных данных, излишних по отношению к заявленным целям обработки.
6.1.8. При обработка персональных данных должна быть обеспечена точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
6.1.9. Неполные или неточные данные должны быть удалены или уточнены.
6.1.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.1.11. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законом.
6.2. Фонд при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а так же от иных неправомерных действий в отношении персональных данных.
6.3. Обеспечение безопасности персональных данных достигается, в частности:
6.3.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
6.3.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями законодательства РФ в сфере обработки и защиты персональных данных, требованиями руководящих документов ФСТЭК РФ и ФСБ РФ по обеспечению безопасности персональных данных в соответствии с уровнем защищенности персональных данных;
6.3.3. Применением средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации;
6.3.4. Оценкой эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
6.3.5. Учетом машинных носителей персональных данных;
6.3.6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
6.3.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.3.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а так же обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
6.3.9. Контролером за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.4. Перечень персональных данных, обрабатываемых в Фонде утверждается руководителем и по мере изменения состава обрабатываемых персональных данных подлежит пересмотру и уточнению.
6.5. Цели обработки персональных данных:
6.5.1. Целями обработки персональных данных сотрудников Фонда является выполнение трудового законодательства и других нормативных актов Президента РФ и Правительства РФ, а также осуществление Уставной деятельности организации.
6.5.2. Целями обработки персональных данных в Фонде является:
- содействие реализации государственной промышленной политики в регионе:
- информационно-аналитическое и консультационное обеспечение деятельности субъектов деятельности в сфере промышленности;
- содействие развитию автоматизированных систем обработки, хранения и распространения информации о состоянии отраслей промышленности Тульской области и прогнозе их развития;
- повышение потенциала промышленности в экономике региона, решение социальных задач и рост благосостояния населения, расширение доступа производителей Тульской области к кредитным и иным финансовым ресурсам, развитие инфраструктуры поддержки отраслей промышленности региона;
- защита прав и свобод человека и гражданина, охране собственности и общественного порядка, противодействию терроризму и экстремизму, осуществление иных полномочий, установленных федеральными законами, Уставом организации.
6.6. При определении объема и содержания обрабатываемых данных субъектов, Фонд руководствуется указанными целями получения и обработки персональных данных.
6.7. Доступ работников Фонда к персональным данным, подлежащим обработке, разрешен только уполномоченным сотрудникам в соответствии с перечнем должностей сотрудников в Фонде, деятельность, которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным. При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах их задач и функций.
6.8. Порядок доступа субъектов персональных данных к его персональным данным, обрабатываемых Фондом, осуществляется в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и определяется Правилами обработки персональных данных в Фонде.
6.9. Перечень информационных систем персональных данных Фонда утверждается директором (руководителем) или лицом его заменяющим. Информационные системы персональных данных классифицируются в зависимости от категорий обрабатываемых данных и их объема.
6.10. Организация и проведение мероприятий по обеспечению защиты персональных данных в Фонде осуществляется в соответствии с Правилами обработки персональных данных в Фонде и требованиям законодательства РФ, а так же нормативно-правовых документов в сфере защиты персональных данных.
6.11. Общее руководство организации работ по защите персональных дынных в Фонде осуществляет сотрудник, ответственный за обеспечение безопасности персональных данных.
7. Перечень основных проводимых мероприятий по защите информации в Фонде включает в себя:
7.1. Разработку, введение в действие и обеспечение исполнения локальных нормативных актов, регламентирующих работу с персональными данными, в том числе определяющими условия и порядок доступа к информационным системам персональных данных, а также соблюдение требований конфиденциальности персональных данных, с которыми служащих и работников Фонда знакомят под роспись;
7.2. Обеспечение необходимыми средствами защиты рабочих мест, мест хранения носителей информации и помещений в соответствии с установленными требованиями, обеспечивающими ограничение доступа к персональным данным, их уничтожению, изменению, блокированию, копированию и распространению;
7.3. Обеспечение ограничения, разграничения и непрерывного контроля доступа должностных лиц к персональным данным, носителям информации, помещениям и средствам обработки.
8. Фонд несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.
9. Заключительные положения
9.1. Фонд оставляет за собой право вносить изменения в настоящую Политику (во все ее разделы, а также в наименование).
9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
Директор Фонда развития
промышленности Тульской области Д.Д. Пронин