Политика обработки персональных данных

Утверждено приказом уполномоченного по защите прав предпринимателей в Томской области от 08.08.2024 № 16

Политика обработки персональных данных

Уполномоченным по защите прав предпринимателей в Томской области

Основные положения
- Настоящая Политика обработки персональных данных Уполномоченным по защите прав предпринимателей в Томской области (далее – Политика) является основополагающим локальным организационно-распорядительным документом, регулирующим вопросы обработки персональных данных в аппарате Уполномоченного по защите прав предпринимателей в Томской области (далее – аппарат Уполномоченного), и определяет основные принципы сбора, хранения, систематизации, передачи, использования, уничтожения и других видов и способов обработки персональных данных (далее — ПДн).
- Настоящая Политика разработана во исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов (далее – ФЗ «О персональных данных», законодательство РФ по вопросам обработки персональных данных).
- Действие Политики распространяется на обработку всех ПДн в аппарате Уполномоченного, как с использованием средств автоматизации, так и без использования таких средств.
- В дополнение к настоящей Политике в аппарате Уполномоченного могут быть разработаны другие внутренние нормативные документы, регламентирующие отдельные процессы управления обработкой ПДн, включая положение об обработке ПДн, приказы о назначении ответственных лиц, инструкции и иные необходимые документы.
- Для целей настоящей Политики используются следующие основные понятия:

− персональные данные или ПДн – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн);

− субъект ПДн – физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПДн;

− персональные данные, разрешенные субъектом ПДн для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных»;

− обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

− оператор персональных данных (далее – Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

− пользователь информации – субъект, обращающийся к информационному ресурсу за получением необходимой ему информации и пользующийся ею;

− автоматизированная обработка ПДн – обработка персональных данных с помощью средств вычислительной техники; − информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

− конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

− уничтожение ПДн – действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн, или в результате которых уничтожаются материальные носители ПДн;

− предоставление ПДн – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

− распространение ПДн – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

− блокирование ПДн – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); − обезличивание ПДн – действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн;

− трансграничная передача ПДн – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

− сайт в сети «Интернет» – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет») по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет»;

− Cookie (куки) — небольшой фрагмент данных, который отправляется сервером и хранится на компьютере пользователя.

Обязанности субъекта ПДн и Оператора:

1.6.1. Субъект ПДн обязан:

– предоставлять Оператору достоверные данные о себе;

– соблюдать положения, предусмотренные действующим законодательством Российской Федерации.

1.6.2. Оператор обязан:

– соблюдать принципы и правила обработки ПДн;

– в случае, если обработка ПДн осуществляется по поручению другого Оператора, строго соблюдать и выполнять требования Оператора, поручившего Уполномоченному обработку ПДн;

– не раскрывать третьим лицам и не распространять ПДн без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

– обеспечить обработку ПДн субъектов ПДн с использованием баз данных, находящихся на территории Российской Федерации;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

– предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн, в объеме согласно ФЗ «О персональных данных»;

– разъяснить субъекту персональных данных юридические последствия отказа предоставить его ПДн;

– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;

– при осуществлении сбора ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в сети «Интернет», с использованием которых осуществляется сбор ПДн, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

– при необходимости осуществления блокирования и уничтожения обрабатываемых ПДн в случаях, установленных ФЗ «О персональных данных», соблюдать правила и сроки осуществления блокирования и уничтожения обрабатываемых ПДн;

– прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) при наступлении обстоятельств в соответствии с ФЗ «О персональных данных»;

– в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

– осуществлять иные действия и проводить иные мероприятия по обработке и защите ПДн субъектов ПДн в соответствии с законодательством Российской Федерации.

1.7. Права субъекта персональных данных и Оператора:

1.7.1. Субъект ПДн имеет право:

1.7.1.1. На получение информации, касающейся обработки его ПДн, в том числе содержащей:

– подтверждение факта обработки ПДн Оператором;

– правовые основания и цели обработки ПДн;

– применяемые Оператором способы обработки ПДн;

– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

– обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

– сроки обработки ПДн, в том числе сроки их хранения;

– порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;

– информацию об осуществленной или о предполагаемой трансграничной передаче данных; – наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

– иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами. Указанные сведения предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя.

1.7.1.2. На определение представителей для защиты своих ПДн.

1.7.1.3. Требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.7.1.4. Требовать исключить данные, обрабатываемые с нарушением требований ФЗ «О персональных данных».

1.7.1.5. Требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.

1.7.1.6. Обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов ПДн (в случае если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы).

1.7.1.7. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.7.1.8. Отозвать данное Оператору согласие на обработку своих персональных данных.

1.7.1.9. Осуществлять иные права в соответствии с законодательством Российской Федерации.

1.7.2. Оператор имеет право:

– обрабатывать ПДн в соответствии с действующим законодательством Российской Федерации;

— поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия соответствующего акта;

– ограничить право субъекта ПДн на доступ к его ПДн/мотивированно отказать субъекту ПДн в предоставлении сведений, касающихся обработки его ПДн, в случаях, установленных законодательством Российской Федерации, в том числе при нарушении субъектом ПДн своих обязанностей по подаче такого запроса или если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;

– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством в области ПДн, если иное не предусмотрено федеральными законами; – осуществлять или обеспечивать блокирование или уничтожение ПДн в порядке и сроки, установленные ФЗ «О персональных данных»;

– продолжить обработку ПДн в случае достижения цели обработки ПДн или отзыва субъектом ПДн согласия на обработку его ПДн, если обработка ПДн осуществляется без согласия субъекта ПДн, при наличии оснований, указанных в ФЗ «О персональных данных»;

– осуществлять иные права в соответствии с законодательством Российской Федерации.

1.8. При использовании информации, размещенной на сайте в сети «Интернет» (далее – Сайт), технические средства Сайта автоматически распознают сетевые (IP) адреса и доменные имена каждого пользователя информации. Упомянутые сведения и электронные адреса лиц, пользующихся интерактивными сервисами Сайта и (или) отправляющих электронные сообщения в адреса, указанные на Сайте, сведения о том, к каким страницам Сайта обращались пользователи информации, и иные сведения (в том числе персонального характера), сообщаемые пользователями информации, хранятся с использованием программных и технических средств Сайта для целей, перечисленных в пункте 1.9 настоящей Политики. На Сайте осуществляется сбор и обработка обезличенных данных о посетителях с помощью сервисов интернет-статистики Яндекс Метрика, включая сведения о частоте посещений сайта пользователями, посещенные страницы, и сайты, на которых были пользователи до перехода на Сайт Уполномоченного.

1.9. Сведения о пользователях информации, накапливаемые и хранимые в технических средствах Сайта, используются исключительно для целей совершенствования способов и методов представления информации на Сайте, улучшения обслуживания пользователей информации, выявления наиболее посещаемых страниц и сервисов Сайта, а также ведения статистики посещений Сайта.

1.10. Вне пределов, указанных в пункте 1.9 настоящей Политики, информация о пользователях информации не может быть каким-либо образом использована или разглашена. Доступ к таким сведениям имеют только лица, специально уполномоченные на проведение работ, указанных в пункте 1.9 настоящей Политики и предупрежденные об ответственности за случайное или умышленное разглашение либо несанкционированное использование таких сведений.

1.11. ПДн пользователей информации хранятся и обрабатываются с соблюдением требований российского законодательства.

1.12. Какая-либо информация, являющаяся производной по отношению к сведениям, перечисленным в пункте 1.9 настоящей Политики, представляется для последующего использования (распространения) исключительно в обобщенном виде, без указания конкретных сетевых адресов и доменных имен пользователей информации.

1.13. Рассылка каких-либо электронных сообщений по сетевым адресам пользователей информации, а также размещение на Сайте гиперссылок на сетевые адреса пользователей информации и (или) их интернет-страницы допускаются исключительно, если такая рассылка и (или) размещение прямо предусмотрены правилами использования соответствующего сервиса и на такую рассылку и (или) размещение получено предварительное согласие пользователя информации. Переписка с пользователями информации, не относящаяся к использованию сервисов Сайта либо иных информационных разделов Сайта, не производится.

1.14. Сайт использует файлы «cookie», чтобы улучшить работу, повысить эффективность и удобство. При посещении Сайта, пользователь информации подтверждает свое согласие на использование файлов «cookie», которые не содержат сведений, на основании которых можно идентифицировать пользователя.

Цели обработки ПДн
- Обработка ПДн осуществляется на законной основе.
- Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.
- Целью обработки ПДн субъектов ПДн является осуществление возложенных законодательством Российской Федерации на Уполномоченного функций, полномочий и обязанностей, а именно:

– обеспечение доступа к информации о деятельности Уполномоченного;

– оформление и регулирование трудовых отношений, ведение кадрового учета (в том числе содействие работникам в обучении и должностном росте, организация профессиональной переподготовки и повышения квалификации сотрудников Уполномоченного, а также обеспечение личной безопасности работников, условий их труда, гарантий и компенсаций, сохранности имущества, контроля количества и качества выполняемой работы);

– ведение воинского учета, проведение мобилизационной подготовки и мобилизации;

– ведение бухгалтерского учета и начисления заработной платы;

– обеспечение проведения расчетно-кассовых операций;

– соблюдение налогового законодательства;

– проведение приема граждан и субъектов предпринимательской деятельности, рассмотрение обращений граждан, принятие по ним решений и направление ответов заявителям;

– исполнение обязательств, предусмотренных договорами гражданско-правового характера.

Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой.
Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается обработка ПДн, избыточных по отношению к заявленным целям обработки. Обработке подлежат только ПДн, которые отвечают целям их обработки. Категории субъектов ПДн и состав обрабатываемых ПДн определены настоящей Политикой и соответствуют заявленным целям обработки.
При обработке персональных данных в аппарате Уполномоченного обеспечивается их точность, достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Уполномоченный принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПДн при осуществлении и выполнении возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей для достижения целей обработки ПДн, предусмотренных настоящей Политикой:

– Трудовой кодекс Российской Федерации;

– Налоговый кодекс Российской Федерации;

– Гражданский кодекс Российской Федерации;

– Федеральный закон от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;

– Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»,

– Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

– Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

– Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

– Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;

– Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

– Федеральный закон от 07.05.2013 № 78-ФЗ «Об уполномоченных по защите прав предпринимателей в Российской Федерации»;

– Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе»;

– Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

– Федеральный закон от 31.05.1996 № 61-ФЗ «Об обороне»;

– Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;

– Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;

– Закон Томской области от 27.12.2013 № 242-ОЗ «Об Уполномоченном по защите прав предпринимателей в Томской области»;

– договоры (контракты), заключаемые между Оператором и субъектом ПДн или в интересах субъекта ПДн;

– согласие на обработку персональных данных субъектов ПДн.

Состав обрабатываемых персональных данных, категории субъектов персональных данных
- Уполномоченный, в рамках выполнения своей основной деятельности, осуществляет обработку персональных данных различных категорий субъектов ПДн: государственных служащих; физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с аппаратом Уполномоченного; граждан, подавших заявление на включение в кадровый резерв; субъектов предпринимательской деятельности, обратившихся к Уполномоченному, — и в соответствии с действующим законодательством РФ является оператором персональных данных с соответствующими правами и обязанностями.
- Обработка специальных категорий персональных данных Оператором не осуществляется.
- Сведения о категориях субъектов, персональные данные которых обрабатываются Уполномоченным, категориях и перечне обрабатываемых персональных данных, способах, сроках их обработки и хранения представлены в Приложении к настоящей Политике.

Порядок и условия обработки персональных данных
- Перечень действий, совершаемых Оператором с ПДн субъектов

В ходе обработки ПДн Оператором возможно совершение следующих действий (операций) с персональными данными субъектов ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ, распространение), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных субъектов ПДн допускается при наличии согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, а также в иных случаях, предусмотренных законодательством Российской Федерации, в том числе в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПДн, разрешенных субъектом ПДн для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Передача (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению. Указанные в данном требовании ПДн могут обрабатываться только Оператором. Оператор обязуется прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн.

5.3. Используемые Оператором способы обработки персональных данных Обработка полученных персональных данных осуществляется Оператором как с использованием средств автоматизации, так и на бумажных носителях (без использования средств автоматизации).

5.4. Порядок передачи персональных данных третьим лицам.

Взаимодействие с третьими лицами в рамках достижения целей обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации, осуществляется при следующих условиях:

— наличие договора (соглашения) об информационном взаимодействии и (или) договора поручения на обработку персональных данных;

— наличие согласия субъекта персональных данных на передачу его персональных данных третьим лицам. Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.5. Трансграничная передача персональных данных Оператором не осуществляется.

5.6. Оператор и иные лица, получившие доступ к ПДн обязуются не раскрывать третьим лицам и не распространять ПДн без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.7. Оператором приняты необходимые правовые, организационные и технические меры для защиты ПДн при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты ПДн при их обработке Уполномоченным, а именно:

– назначены ответственные лица за организацию обработки ПДн и защиту информации, содержащейся в информационных системах Уполномоченного;

– разработаны локальные акты по вопросам обработки ПДн, определяющие для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Локальные акты не содержат положения, ограничивающие права субъектов персональных данных, а также возлагающие на Операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

– осуществляется внутренний контроль соответствия обработки ПДн ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам Оператора;

– ведется периодическое ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;

– Оператор оценивает вред в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен ПДн в случае нарушения ФЗ «О персональных данных», соотносит указанный вред и принимаемые Оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;

– определены угрозы безопасности персональных данных при их обработке в информационных системах;

– с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн определены уровни защищенности ПДн при их обработке в информационных системах Уполномоченного;

– применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;

– проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

– ведется учет машинных носителей персональных данных и принимаются меры по обеспечению сохранности носителей персональных данных;

– выполнены мероприятия, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;

– установлены правила доступа к персональным данным, обрабатываемым в Уполномоченным;

– осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ПДн при их обработке в информационных системах Уполномоченного;

– организован режим обеспечения безопасности помещений, в которых осуществляется обработка ПДн, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

5.8. Условия прекращения обработки персональных данных.

Условием прекращения обработки персональных данных является:

– достижение целей обработки персональных данных;

– отзыв согласия субъекта персональных данных (или его представителей) на обработку его персональных данных;

– выявление неправомерной обработки персональных данных;

– истечение установленного срока хранения ПДн;

– ликвидация Оператора;

– прекращение осуществления деятельности Оператора.

5.9. Организация хранения персональных данных.

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законодательством Российской Федерации и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Для организации хранения персональных данных в случае автоматизированной обработки Оператор в соответствии ФЗ «О персональных данных» использует технические устройства хранения данных, находящиеся на территории Российской Федерации.

5.10. Обработка персональных данных без использования средств автоматизации Обработка персональных данных без использования средств автоматизации организована в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687:

– определены места хранения ПДн (материальных носителей) и установлены перечни лиц, осуществляющих обработку ПДн без использования средств автоматизации, либо имеющих к ним доступ;

– обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;

– приняты меры, направленные на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающие несанкционированного к ним доступа, обеспечен контроль за их соблюдением.

Актуализация, исправление, удаление, уничтожение персональных данных, прекращение обработки персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Актуализация, исправление, удаление персональных данных

При обработке ПДн должны быть обеспечены точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. На период проверки Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора).

В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор обязан уничтожить такие ПДн или обеспечить их уничтожение. В случае выявления неточных ПДн Оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. В случае подтверждения факта неточности ПДн Оператор обязан уточнить ПДн данные либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов Пдн:

– в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

– в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае обращения субъекта ПДН к Оператору с требованием о прекращении обработки ПДн Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.2. Уничтожение персональных данных.

Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта ПДн на обработку его ПДн, или в случае выявления неправомерной обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, или иным соглашением между Оператором и субъектом ПДн.

Оператор обязуется осуществлять подтверждение факта уничтожения ПДн в указанных выше случаях в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179.

6.3. Порядок рассмотрения запросов субъектов персональных данных.

Оператор обязуется сообщать в порядке, предусмотренном ФЗ «О персональных данных», субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн в течение десяти рабочих дней с момента обращения субъекта ПДн или его представителя, либо при получении запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Утвержденные Уполномоченным правила рассмотрения запросов субъектов персональных данных или их представителей по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим данным, а также соответствующие формы запросов/обращений предоставляются по запросу не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования и (или) обращения. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Порядок ознакомления с политикой Оператора

в отношении обработки персональных данных

7.1. В соответствии с требованиями ФЗ «О персональных данных» Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.

Оператор, осуществляющий сбор ПДН с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор ПДн, документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

7.2. Оператор оставляет за собой право в любой момент изменить положения настоящей Политики и обязуется опубликовать обновленную Политику и предоставить к ней доступ для ознакомления путем размещения в информационно-телекоммуникационной сети «Интернет» на официальном сайте Уполномоченного по адресу: https://omb-biz.tomsk.ru/.

Сведения о категориях субъектов, персональные данные которых обрабатываются Уполномоченным, категориях и перечне обрабатываемых персональных данных, способах, сроках их обработки и хранения

№ п/п	Категории субъектов, персональные данные которых обрабатываются	Цели обработки персональных данных (с указанием нормативного правового основания для обработки)	Содержание обрабатываемых персональных данных	Сроки обработки и хранения персональных данных	Порядок уничтожения персональных данных при достижении целей обработки или наступлении иных законных оснований
1.	сотрудники аппарата Уполномоченного по защите прав предпринимателей в Томской области	Реализация служебных полномочий.	1) Фамилия, имя, отчество; 2) Число, месяц, год и место рождения; 3) сведения о гражданстве; 4) сведения о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются); 5) сведения о выполняемой работе с начала трудовой деятельности (включая учебу в высших и средних специальных учебных заведениях, военную службу, работу по совместительству, предпринимательскую деятельность и т.п.); 6) сведения о близких родственниках, а также о супруге, в том числе бывшей (бывшем); 7) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения); 8) сведения о регистрации и /или фактическом месте жительства; 9) сведения о государственном пенсионном страховании гражданского служащего; 10) сведения о постановке на учет в налоговом органе по месту жительства на территории Российской Федерации; 11) номер домашнего, служебного, мобильного телефона; 12) сведения о классном чине федеральной гражданской службы, дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации, квалификационном разряде государственной службы, классном чине муниципальной службы; 13) сведения о судимости (отсутствии судимости); 14) сведения о допуске к государственной тайне; 15) сведения о пребывании за границей; 16) сведения о государственной регистрации актов гражданского состояния; 17) сведения о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных знаний, присуждении государственных премий (если таковые имеются); 18)сведения об отношении к воинской обязанности; 19) сведения об аттестации гражданского служащего; 20)сведения о включении в кадровый резерв; 21) сведения о наложении дисциплинарного взыскания до его снятия или отмены; 22) сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего и членов его семьи; 23) сведения о расходах на совершение сделок по приобретению недвижимого имущества, транспортного средства, ценных бумаг, акций и об источниках получения средств, за счет которых совершена указанная сделка гражданского служащего и членов его семьи; 24) заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную службу Российской Федерации или ее прохождению; 25) согласие на обработку персональных данных; 26) номер заграничного паспорта, срок действия; 27)адрес электронной почты	В течение срока прохождения государственной гражданской службы, 75 лет после увольнения	При достижении целей обработки или при наступлении иных законных оснований персональные данные подлежат уничтожению в следующем порядке: по истечении срока хранения документы, содержащие персональные данные, подлежат уничтожению, о чем составляется акт; уничтожение персональных данных в электронном виде производится уполномоченными лицами с использованием штатных средств программного обеспечения, осуществляющего их обработку.
2.	Лица, с которыми заключен договор возмездного оказания услуг, соглашение о безвозмездном оказании услуг	Реализация гражданско-правовых договоров по договору возмездного оказания услуг, соглашений о безвозмездном оказании услуг	1) Фамилия, имя, отчество; 2) Число, месяц, год и место рождения; 3) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения); 4) сведения о регистрации и /или фактическом месте жительства; 5) сведения о государственном пенсионном страховании; 6) сведения о постановке на учет в налоговом органе по месту жительства на территории Российской Федерации; 7) лицевой счет в банке; 8) согласие на обработку персональных данных.	75 лет после истечения срока действия договора возмездного оказания услуг, соглашения о безвозмездном оказании услуг	При достижении целей обработки или при наступлении иных законных оснований персональные данные подлежат уничтожению в следующем порядке: по истечении срока хранения документы, содержащие персональные данные, подлежат уничтожению, о чем составляется акт; уничтожение персональных данных в электронном виде производится уполномоченными лицами с использованием штатных средств программного обеспечения, осуществляющего их обработку
3.	Граждане Российской Федерации	Оформление награждения государственными наградами	1) фамилия, имя, отчество; 2)должность, место работы; 3) пол; 4) дата рождения; 5) место рождения; 6) стаж работы; 7) образование; 8) учена степень, ученое звание; 9) награждение государственными и отраслевыми наградами; 10) адрес регистрации по месту жительства; 11) трудовая деятельность (включая учебу в высших и средних учебных заведениях, военную службу)	До минования надобности	Передаются в ОГКУ «Государственный архив Томской области»
4.	Граждане Российской Федерации	Оформление награждения наградами Томской области.	1)фамилия, имя, отчество; 2)должность, место работы; 3) пол; 4) дата рождения; 5) место рождения; 6) стаж работы; 7) образование; 8) учена степень, ученое звание; 9) награждение государственными и отраслевыми наградами; 10) паспортные данные (серия, номер, кем и когда выдан); 11) домашний адрес; 12) индивидуальный номер налогоплательщика; 13)номер страхового свидетельства государственного пенсионного страхования.	До минования надобности	Передаются в ОГКУ «Государственный архив Томской области»
5.	Граждане Российской Федерации	Оформление награждения наградами Губернатора Томской области	1) фамилия, имя, отчество; 2)должность, место работы; 3) дата рождения; 4) стаж работы; 5) образование; 6) награждение государственными и отраслевыми наградами; 7) трудовая деятельность (включая учебу в высших и средних учебных заведениях, военную службу)	До минования надобности	Передаются в ОГКУ «Государственный архив Томской области»
6.	Граждане Российской Федерации	Оформление награждения почетной грамотой Администрации Томской области или Благодарностью Администрации Томской области.	1) фамилия, имя, отчество; 2)должность, место работы; 3) дата рождения; 4) стаж работы; 5) образование; 6) награждение государственными и отраслевыми наградами;	До минования надобности	При достижении целей о обработки или при наступлении иных законных оснований персональные данные подлежат уничтожению, о чем составляется акт; уничтожение персональных данных в электронном виде не производится
7.	Государственные гражданские служащие аппарата Уполномоченного по защите прав предпринимателей в Томской области	Реализация программ профессиональной подготовки.	1) фамилия, имя, отчество; 2) год рождения; 3) место работы и должность; 4) сведения об образовании.	На срок замещения должности государственной гражданской службы	При достижении целей обработки или при наступлении иных законных оснований персональные данные подлежат уничтожению в следующем порядке: по истечении срока хранения документы, содержащие персональные данные, подлежат уничтожению, о чем составляется акт; уничтожение персональных данных в электронном виде производится уполномоченными лицами с использованием штатных средств программного обеспечения, осуществляющего их обработку
8.	Лица, претендующие на занятие руководящих должностей на государственной и муниципальной службе	Формирование и включение в кадровый резерв управленческих кадров Томской области.	1) фамилия, имя, отчество; 2) дата рождения; 3) место работы и должность; 4) сведения об образовании, повышении квалификации	3 года с даты включения в резерв	При достижении целей обработки или при наступлении иных законных оснований персональные данные подлежат уничтожению в следующем порядке: удаление записи из локальной базы данных кадрового резерва; удаление записи из Реестра резерва
9.	Представители юридических лиц, граждане РФ, осуществляющие предпринимательскую деятельность без образования юридического лица	Организация работы с устными и письменными обращениями, запросами юридических лиц и индивидуальных предпринимателей	1) фамилия, имя, отчество; 2) паспортные данные (серия, номер паспорта, кем и когда выдан); 3)должность, место работы; 4) дата рождения; 5) место работы и должность; 6) рабочий, мобильный телефон, адрес электронной почты; 7) адрес места жительства/адрес регистрации.	от 10 дней до 5 лет	Передаются в ОГКУ «Государственный архив Томской области» либо уничтожаются (списываются) по акту комиссии
10.	Граждане Российской Федерации	Подготовка поздравлений по поручению Уполномоченного по защите прав предпринимателей в Томской области с государственными праздниками Российской Федерации, днями рождения.	1) фамилия, имя, отчество; 2) адрес места жительства.	До минования надобности	Бумажные версии уничтожаются с использованием бумагоуничтожительной машины, электронные версии уничтожаются штатными средствами
11.	Сотрудники аппарата Уполномоченного по защите прав предпринимателей в Томской области	Подготовка наградных документов на награждение сотрудников аппарата Уполномоченного по защите прав предпринимателей в Томской области.	1) фамилия, имя, отчество; 2) адрес места жительства; 3) номера домашнего и мобильного телефонов; 4) анкетные данные и иная информация, содержащаяся в личных делах государственных гражданских служащих аппарата Уполномоченного по защите прав предпринимателей в Томской области	До минования надобности	Оригиналы наградных документов хранятся в аппарате Уполномоченного по защите прав предпринимателей в Томской области, черновики уничтожаются с использованием бумагоуничтожительной машины, электронные версии удаляются штатными средствами
12.	сотрудники аппарата Уполномоченного по защите прав предпринимателей в Томской области	Оплата листов нетрудоспособности	1) фамилия, имя, отчество; 2) информация медицинского характера	Срок обработки и хранения персональных данных устанавливается на срок достижения цели обработки персональных данных	Уничтожение персональных данных в электронном виде производится уполномоченными лицами с использованием штатных средств программного обеспечения, осуществляющего их обработку
13.	сотрудники аппарата Уполномоченного по защите прав предпринимателей в Томской области	Оплата труда.	1) фамилия, имя, отчество; 2) информация о поощрениях и взысканиях	Срок обработки и хранения персональных данных устанавливается на срок достижения цели обработки персональных данных	Уничтожение персональных данных в электронном виде производится уполномоченными лицами с использованием штатных средств программного обеспечения, осуществляющего их обработку
14.	Государственные гражданские служащие аппарата Уполномоченного по защите прав предпринимателей в Томской области	Передача персональных данных работника внебюджетным фондам, налоговым органам.	1) фамилия, имя, отчество; 2) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения); 3)адрес места регистрации; 4) информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования; 5) индивидуальный номер налогоплательщика; 6) должность, место работы; 7) информация о доходах.	Срок обработки и хранения персональных данных устанавливается на срок достижения цели обработки персональных данных	Уничтожение персональных данных в электронном виде производится уполномоченными лицами с использованием штатных средств программного обеспечения, осуществляющего их обработку
15.	Государственные гражданские служащие аппарата Уполномоченного по защите прав предпринимателей Томской области	Передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для перечисления заработной платы.	1) фамилия, имя, отчество; 2) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения); 3)адрес места регистрации; 4)номера домашнего и мобильного телефонов; 5) должность, место работы	Срок обработки и хранения персональных данных устанавливается на срок достижения цели обработки персональных данных	Уничтожение персональных данных в электронном виде производится уполномоченными лицами с использованием штатных средств программного обеспечения, осуществляющего их обработку