ПОЛИТИКА
в отношении обработки персональных данных
на портале Госуслуг Камчатского края
1. Общие положения
1.1. Основные понятия
Для целей Политики используются следующие понятия:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
ЕСИА – федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме». Условия использования ЕСИА определены ее оператором и размещены в свободном доступе в информационно-телекоммуникационной сети «Интернет» по адресу: https://esia.gosuslugi.ru/.
1.2. Назначение Политики
Настоящая Политика в отношении обработки персональных данных на портале государственных и муниципальных услуг Камчатского края (далее – «Политика») разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Настоящая Политика является общедоступным документом и в соответствии с требованиями части 2 статьи 18.1 Закона о персональных данных публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на Портале (https:// gosuslugi41.ru).
Политика подлежит пересмотру в ходе периодического анализа со стороны Оператора, а также в случаях изменения законодательства Российской Федерации в области персональных данных. В случае внесения изменений в настоящую Политику, Оператор уведомляет Пользователя о внесении изменений путем размещения изменений на Портале. Актуальная редакция Политики вступает в силу с момента ее публикации.
1.3. Цели Политики
Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Оператором.
1.4. Область действия
Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Оператором:
- с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
- без использования средств автоматизации.
2. Цели обработки персональных данных
Обработка персональных данных осуществляется Оператором в следующих целях:
- обеспечение предоставления Пользователю в электронной форме государственных и муниципальных услуг, сервисов.
3. Правовые основания обработки персональных данных
Основанием обработки персональных данных в КГАУ «Информационно-технологический центр» являются следующие нормативные акты и документы:
- Федерального закона от 27.07.2010 N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Постановление Правительства РФ от 19.11.2014 № 861 «О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)»;
- Постановление Правительства РФ от 26.03.2016 № 236 «О требованиях к предоставлению в электронной форме государственных и муниципальных услуг»;
- Постановление Правительства РФ от 28.11.2011 № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»;
- Постановление Правительства РФ от 10.07.2013 № 584 «Об использовании федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»;
- Постановление Правительства РФ от 08.06.2011 № 451 «Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме»;
- Постановление Правительства РФ от 20.11.2012 (с изменениями) № 1198 «О федеральной государственной информационной системе, обеспечивающей процесс досудебного (внесудебного) обжалования решений и действий (бездействия), совершенных при предоставлении государственных и муниципальных услуг»;
- Постановление Правительства Камчатского края от 30.03.2010 № 143-П «О Реестре государственных и муниципальных услуг (функций) Камчатского края и о Портале государственных и муниципальных услуг (функций) Камчатского края»;
- Согласия субъектов персональных данных на обработку персональных данных.
В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, Оператором осуществляется обработка следующих категорий субъектов персональных данных:
- граждане, обратившиеся за получением государственных и муниципальных услуг.
В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, Оператором осуществляется обработка следующих персональных данных:
- ФИО;
- дата рождения;
- место рождения;
- пол;
- адрес регистрации;
- адрес проживания;
- контактные телефоны;
- адрес электронной почты;
- данные документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- код подразделения органа, выдавшего документ, удостоверяющего личность:
- дата выдачи документа, удостоверяющего личность;
- ИНН;
- СНИЛС;
- ОГРНИП;
- место работы;
- должность.
5. Порядок и условия обработки персональных данных
5.1 Принципы обработки персональных данных
Обработка персональных данных осуществляется Оператором в соответствии со следующими принципами:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2. Конфиденциальность персональных данных
Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.3. Меры, применяемые для защиты ПДн
Обеспечение безопасности персональных данных на Портале производится в соответствии с приказом ФСТЭК России от 11 февраля 2013 года № 17 и приказом ФСТЭК России от 18 февраля 2013 года № 21.
Меры по защите персональных данных, обрабатываемых без средств автоматизации, определяется в соответствии с Постановлением правительства РФ №687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» в отдельном документе.
5.4 Согласие субъекта персональных данных на обработку его персональных данных
Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
Чтобы выдать согласие на обработку данных, достаточно подтвердить запрос согласия. Запрос согласия подписывается простой электронной подписью, которая представляет собой логин и пароль. Квалифицированная электронная подпись не требуется.
Пользователь дает свое согласие на предоставление доступа к его персональным данным организациям, выполняющим работы (оказывающим услуги) по технической поддержке и (или) модернизации Портала, либо иные работы (услуги) на основании государственных контрактов, при этом указанные организации обязуются соблюдать конфиденциальность в отношении персональных данных Пользователя и не вправе передавать третьим лицам.
Пользователь дает свое согласие на информирование Оператором и (или) привлекаемыми Оператором на основании договоров лицами с использованием персональных данных Пользователя в целях, не связанных с рекламой и продвижением товаров и услуг, в том числе о наличии налоговой задолженности, о социально-значимых проектах, о вакцинации граждан, о проведении социальных опросов и об иной информации. Информирование может осуществляться посредством использования подвижной радиотелефонной связи по телефонному номеру Пользователя, сведения о котором содержатся на Портале, в том числе путем совершения телефонных вызовов и рассылки СМС-сообщений, посредством направления информации по информационно-телекоммуникационной сети «Интернет» на предоставленный Пользователем номер телефона и (или) адрес электронной почты, а также путем направления Сервисом пуш-уведомлений (информационных сообщений от приложения, которые всплывают на экране устройства при наличии подключения к интернету).
Пользователь дает свое согласие на обработку персональных данных, полученных Оператором от Поставщиков услуг, в целях предоставления Пользователю функциональных возможностей Портала по оплате услуг Поставщиков услуг.
Используя функции Портала, позволяющие Пользователю совершить оплату по договору Поставщика услуг, Пользователь дает свое согласие Поставщику услуг в объеме и целях, необходимых для совершения оплаты.
5.5. Трансграничная передача персональных данных
Трансграничная передача персональных данных Оператором не осуществляется.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1 Права субъектов персональных данных
Право субъекта персональных данных на доступ к его персональным данным
Субъект персональных данных имеет право на получение информации (далее – запрашиваемая субъектом информация), касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператор, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя (далее – необходимая для запроса информация). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими персональными данными не ранее чем через тридцать дней (далее – нормированный срок запроса) после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения нормированного срока запроса, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование направления повторного запроса.
Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
Право на обжалование действий или бездействия Оператор
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператор в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.2. Обязанности оператора
Обязанности оператора при сборе персональных данных
При сборе персональных данных Оператор предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона «О персональных данных».
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Меры по обеспечению безопасности персональных данных при их обработке
Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
1) назначением ответственного за организацию обработки персональных данных;
2) изданием Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применением правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Оператора;
5) оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
6) ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работнико
7) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
8) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных.
7. Ответственность
Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
8. Рекомендации Пользователю
Необходимо помнить, что безопасность определяется не только уровнем защиты Портала, но и уровнем защиты рабочего места, с которого осуществляется доступ. В частности, для безопасной работы с Порталом Пользователь должен следовать следующим рекомендациям:
- использовать на рабочем месте исключительно лицензионное программное обеспечение;
- устанавливать все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;
- устанавливать и регулярно обновлять лицензионное антивирусное программное обеспечение, регулярно проводить проверку на отсутствие вирусов;
- не загружать программ и данных из непроверенных источников, не посещать сайты сомнительного содержания;
- не заходить в личный кабинет Портала со случайных компьютеров, интернет-кафе либо иных недоверенных рабочих мест;
- не передавать кому-либо ключи для авторизации на Портале, либо информацию для входа в личный кабинет, следить за сохранностью средств доступа.