Скачать PDF



УТВЕРЖДЕНА
приказом ГБУ «МосТрансПроект»
от 26.06.2018 № 11

 ПОЛИТИКА
в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки и защиты персональных данных в Государственное бюджетное учреждение города Москвы «Научно-исследовательский и проектный институт городского транспорта города Москвы «МосТрансПроект» (ГБУ «МосТрансПроект») (далее – Политика) разработана в целях реализации требований законодательства Российской Федерации в области персональных данных.
1.2. Политика разработана с учетом Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных, в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»).
1.3. Политика является локальным нормативным актом ГБУ «МосТрансПроект» (далее – Институт), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных работников Института и других субъектов персональных данных.
1.4. Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Институт с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.5. Политика раскрывает принципы, цели и способы обработки персональных данных, основные категории персональных данных, обрабатываемых Институтом, права субъектов персональных данных, а также включает перечень мер, применяемых Институтом в целях обеспечения безопасности персональных данных при их обработке.
1.6. В настоящей Политике используются следующие термины и определения:
• информация – сведения (сообщения, данные) независимо от формы их представления;
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
• персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• оператор – Институт, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на их раскрытие неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на их раскрытие определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для их уточнения);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители, содержащие персональные данные;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить их принадлежность конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
1.7. Действие настоящей Политики распространяется на все персональные данные, которые Институт может получить от субъектов персональных данных - работников Институт в связи с осуществлением трудовых отношений, других субъектов персональных данных, обработка персональных данных которых предназначена для реализации целей обработки, указанных в настоящей Институт, обрабатываемые Институт с применением средств автоматизации и без применения таких средств.
1.8. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Институт как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
1.9. Персональные данные являются конфиденциальной информацией и, соответственно, на них распространяются все требования, установленные локальными нормативными актами Института к защите конфиденциальной информации.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Политика обработки персональных данных Институт определятся в соответствии со следующими нормативными правовыми актами Российской Федерации:
Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации;
Гражданским кодексом Российской Федерации;
Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
3. ПРИНЦИПЫ, СПОСОБЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНСТИТУТЕ
3.1. Обработка персональных данных в Институте осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Института и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
– обработка персональных данных осуществляется Институтом на законной и справедливой основе;
– обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
– не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработке подлежат только персональные данные, которые отвечают целям их обработки;
– содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
– не допускается избыточность персональных данных по отношению к заявленным целям их обработки;
– при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Институт принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
– хранение персональных данных на Институт осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше,
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– обрабатываемые Институт персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Институт обрабатывает персональные данные субъектов исключительно в целях:
– обеспечения соблюдения Конституции, нормативных правовых актов Российской Федерации, локальных нормативных актов Институт;
– осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации в Институте, в том числе по предоставлению персональных данных работников в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, а также иные государственные органы;
– осуществления трудовых отношений с работниками Института, а именно содействия в трудоустройстве, обучении и исполнении трудовых обязанностей, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества;
– предоставления работникам Института и членам их семей дополнительных гарантий и компенсаций;
– принятия решения о трудоустройстве кандидата на замещение вакантной должности в Институте;
– защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
– заключения и исполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами;
– осуществления пропускного и внутриобъектового режима на Институт;
– формирования справочных материалов для внутреннего информационного обеспечения деятельности Институт;
– исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
– осуществления прав и законных интересов Института в рамках осуществления видов деятельности, предусмотренных Уставом Института и локальными нормативными актами Института, или третьих лиц, достижения общественно значимых целей;
– рассмотрения жалоб и обращений субъектов персональных данных;
– в иных законных целях.
3.3. Обработка персональных данных в Институте осуществляется следующими способами:
– неавтоматизированная обработка персональных данных;
– автоматизированная обработка персональных данных с передачей полученной информации по информационно-коммуникационной сети или без таковой;
– смешанная обработка персональных данных.
4. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ИНСТИТУТЕ
В Институт обрабатываются персональные данные следующих категорий субъектов:
– работников Институт;
– других субъектов персональных данных, обработка персональных данных которых предназначена для реализации целей обработки, указанных в настоящей Политике.
5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ, ОБРАБАТЫВАЕМЫХ В ИНСТИТУТЕ
5.1. Перечень персональных данных, обрабатываемых в Институте, определен в соответствии с законодательством Российской Федерации и локальными нормативными актами Института с учетом целей обработки персональных данных, указанных в настоящей Политике.
5.2. В связи с осуществлением трудовых отношений в Институте обрабатываются следующие персональные данные работников:
– фамилия, имя, отчество;
– данные документов, удостоверяющих личность;
– анкетные и биографические данные;
– сведения об образовании и специальности;
– сведения о трудовом и общем стаже;
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
– сведения о составе семьи;
– место работы (учебы) членов семьи и родственников;
– сведения о воинском учете;
– ИНН;
– сведения о социальных льготах;
– адреса места жительства и регистрации по месту жительства;
– номер домашнего и/или сотового телефона;
– адрес личной электронной почты;
– содержание трудового договора;
– фотография;
– результаты медицинских обследований работника на предмет годности к осуществлению трудовых обязанностей;
– иная, не указанная выше информация, содержащаяся в личных делах и трудовых книжках работников.
5.3. С целью осуществления уставной деятельности Института обрабатываются персональные данные субъектов, обработка персональных данных которых предназначена для реализации целей обработки, указанных в настоящей Политике:
– фамилия, имя, отчество;
– данные документов, удостоверяющих личность;
– адреса места жительства и регистрации по месту жительства;
– номер домашнего и/или сотового телефона;
– адрес личной электронной почты;
– иная, не указанная выше информация, необходимая Институту для исполнения целей обработки персональных данных, указанных в настоящей Политике.
5.4. Институт не осуществляет обработку биометрических категорий персональных данных, а также трансграничную их передачу.
6. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка в Институте специальных категорий персональных данных, касающихся состояния здоровья, допускается только в случаях, предусмотренных статьей 10 Федерального закона «О персональных данных».
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
6.2. Обработка специальных категорий персональных данных прекращается, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральными законами.
7. ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В целях информационного обеспечения на Институт созданы общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
7.2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по его требованию либо по решению суда или иных уполномоченных государственных органов.
8. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
8.1. Институт осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение персональных данных.
8.2. Институт не предоставляет и не раскрывает сведения, содержащие персональные данные своих работников, других субъектов персональных данных, обработка персональных данных которых предназначена для реализации целей обработки, указанных в настоящей Политике, третьей стороне без письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и (или) здоровью, а также в случаях, установленных федеральными законами.
8.3. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы в органы и организации в случаях, установленных законодательством Российской Федерации.
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Субъект персональных данных в соответствии со статьей 14 Федерального закона «О персональных данных» имеет право на получение сведений, касающихся обработки его персональных данных Институтом.
9.2. Субъект персональных данных вправе требовать от Института уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в случаях, предусмотренных пунктом 8 статьи 14 Федерального закона «О персональных данных».
9.4. Для реализации своих прав и защиты законных интересов субъект персональных данных может в порядке, установленном статьей 14 Федерального закона «О персональных данных», обратиться к Институту с соответствующим запросом. Для выполнения таких запросов представителю Института может потребоваться установить личность субъекта персональных данных и запросить у него дополнительную информацию.
9.5. В Институте рассматриваются любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследуются факты нарушений и принимаются все необходимые меры для их немедленного устранения, наказания виновных должностных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.6. Если субъект персональных данных считает, что Институт осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным способом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия (бездействие) Института в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
10.1. Основной задачей обеспечения безопасности персональных данных при их обработке в Институте является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
10.2. В Институт при обработке персональных данных принимаются все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
10.3. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с законодательными актами Российской Федерации и локальными нормативными актами Института, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Института.
10.4. Для обеспечения безопасности персональных данных Института руководствуется следующими принципами:
• законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
• системность: обработка персональных данных в Институте осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
• комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Института и других имеющихся в Институте систем и средств защиты;
• непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
• своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
• преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики их
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
обработки в Институте с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
• персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
• минимизация прав доступа: доступ к персональным данным предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей;
• гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Института, а также объема и состава обрабатываемых персональных данных;
• открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Института не дают возможности преодоления имеющихся в Институте систем защиты возможными нарушителями безопасности персональных данных;
• научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
• непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
11. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
11.1. Должностные лица Института, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.
11.2. Персональная ответственность за несоблюдение требований законодательства Российской Федерации в области персональных данных, настоящей Политики и локальных нормативных актов Института, а также за
Политика в отношении обработки и защиты персональных данных
в ГБУ «МосТрансПроект»
обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях Института возлагается на их руководителей.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Иные права и обязанности Института, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.






Закрыть
Напишите нам
Спасибо, ваше сообщение успешно отправлено
Закрыть