Политика конфиденциальности

Приложение № 1 к приказу 

от «25» мая 2018г. № 97 

ПОЛИТИКА 

обработки персональных данных в Государственном бюджетном учреждении Краснодарского края «Краевая техническая инвентаризация - Краевое БТИ» и сведения о реализуемых требованиях к защите персональных данных г. Краснодар 2018

1. Общие положения 

1.1. Политика обработки персональных данных (далее – ПДн) в государственном бюджетном учреждении Краснодарского края «Краевая техническая инвентаризация – Краевое БТИ (далее – ПДн) и сведения о реализуемых требованиях к защите ПДн (далее – Политика) определяет общие принципы и порядок обработки ПДн, а также меры по обеспечению их безопасности в государственном бюджетном учреждении Краснодарского края «Краевая техническая инвентаризация – Краевое БТИ» (далее – Оператор). 

1.2. Политика обработки ПДн разработана в соответствии с положениями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - ФЗ №152 «О ПДн»), другими законодательными и нормативными правовыми актами, определяющими порядок работы с ПДн и требования к обеспечению их безопасности. 

1.3. В целях выполнения норм федерального законодательства в области обработки ПДн субъектов ПДн, Оператор считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке ПДн, а также обеспечение безопасности процессов их обработки. 

1.4. Настоящая политика характеризуется следующими признаками: - раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер применяемых Оператором в целях обеспечения безопасности ПДн при их обработке. - целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований Российского законодательства в области ПДн. 

1.5. Настоящая Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн. Оператор публикует Политику на своем официальном сайте в сети интернет, по адресу http://www.kubbti.ru/, а также предоставляет неограниченный доступ к ней любому лицу. 

2. Основные понятия, используемые в настоящей Политике 

2.1. ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). 

2.2. Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. 

2.3. Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе: - сбор; - запись; - систематизацию; - накопление; - хранение; - уточнение (обновление, изменение); - извлечение; - использование; - передачу (распространение, предоставление, доступ); - обезличивание, блокирование; - удаление; - уничтожение. 

2.4. Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники. 

2.5. Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц. 

2.6. Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц. 

2.7. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн). 

2.8. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн. 

2.9. Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн. 

2.10. Информационная система ПДн (далее - ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств. 

2.11. Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 

3. Информация об Операторе 

3.1. Наименование Оператора: 

- полное официальное наименование: государственное бюджетное учреждение Краснодарского края «Краевая техническая инвентаризация - Краевое БТИ». 

- официальное сокращенное наименование: ГБУ КК «Крайтехинвентаризация – Краевое БТИ». 

3.2. Реквизиты и адрес: 

- ИНН: 2308248329; 

- ОГРН: 1172375070735; 

- Фактический адрес: 350049 Адрес г. Краснодар, ул. Им. Космонавта Гагарина, д.135/1. 

4. Правовые основания обработки ПДн 

4.1. Политика Оператора в области обработки ПДн определяется в соответствии со следующими нормативными правовыми актами Российской Федерации: 

- Конституцией Российской Федерации; 

- Трудовым кодексом Российской Федерации; 

- Гражданским кодексом Российской Федерации; 

- Налоговым кодексом Российской Федерации; 

- Федеральным законом от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн»; 

- ФЗ №152 «О ПДн»; 

- Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 

- Федеральным законом от 06 декабря 2011 года № 402-ФЗ «О бухгалтерском учете»; 

- Законом РФ от 19 апреля 1991 года № 1032-1 «О занятости населения в Российской Федерации»; 

- Положением об особенностях обработки ПДн, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687; - Постановлением Правительства от 1 ноября 2012 года № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн»; 

- Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн»; 

- Приказом ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников»; 

- договорами, заключаемыми между Оператором и субъектом ПДн; 

- согласиями субъектов ПДн на обработку ПДн. 

4.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора, обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн. 

4.3. Обработка ПДн прекращается при ликвидации учреждения Оператора. 

5. Порядок, цели и условия обработки ПДн 

5.1. Получение ПДн. 

5.1.1. Все ПДн следует получать от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

5.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение. 

5.1.3. Документы, содержащие ПДн создаются путем: 

- копирования оригиналов документов (паспорт, документ об образовании и т. д.); 

- внесения сведений в учетные формы; 

- получения оригиналов необходимых документов. 

5.2. Обработка ПДн. 

5.2.1. Обработка ПДн осуществляется: 

- с согласия субъекта ПДн на обработку его ПДн; 

- в случаях, когда обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий, обязанностей; 

- обработка ПДн осуществляется на законной и справедливой основе; 

- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка ПДн, несовместимая с целями сбора ПДн; 

- не допускается объединение баз данных, содержащих ПДн, обработка которых несовместима между собой; 

- обработке подлежат только ПДн, которые отвечают целям их обработки; 

- содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки; 

- обрабатываемые ПДн не избыточны по отношению к заявленным целям их обработки; 

- при обработке ПДн обеспечиваются точность ПДн, их достаточность, в необходимых случаях и актуальность по отношению к целям обработки ПДн;

- Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных; 

5.3. Условия обработки ПДн. 

5.3.1. Условия обработки ПДн, отличные от получения согласия субъекта ПДн на обработку его ПДн являются альтернативными. 

5.3.2. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператором не производиться. 

5.3.4. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются Оператором для установления личности субъекта ПДн Оператором не обрабатываются. 

5.3.5. Обработка иных категорий ПДн осуществляется Оператором с соблюдением следующих условий: 

- обработка ПДн необходима для достижения целей, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей; 

- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем; 

- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн. 

5.3.6. Обработка общедоступных ПДн Оператором не производится. 

5.3.7. Оператор не создает общедоступные источники ПДн. 

5.4. Цели обработки ПДн.

5.4.1. Оператор обрабатывает ПДн исключительно в следующих целях: 

- оказания услуг в соответствии с уставной деятельностью Оператора; 

- осуществление трудовых отношений (начисления заработной платы работникам на пластиковые карточки банка); 

- исполнения обязанностей, возложенных на организацию Трудовым Кодексом РФ, а так же Федеральными законами РФ; 

- осуществление гражданско-правовых отношений; 

- осуществления пропускного режима; 

- в иных законных целях.

5.5. Категории субъектов ПДн. 

5.5.1. Оператором обрабатываются ПДн следующих субъектов ПДн: 

- физические лица, состоящие с Оператором в трудовых отношениях; 

- физические лица, являющиеся близкими родственниками работников Оператора; 

- физические лица, состоящие с Оператором в гражданско-правовых отношениях; 

- физические лица, обратившиеся за оказанием услуг к Оператору. 

5.6. ПДн, обрабатываемые оператором. 

5.6.1. Оператором обрабатываются следующие ПДн: 

- данные полученные при осуществлении трудовых отношений; 

- данные полученные при осуществлении гражданско-правовых отношений; 

- данные полученные при оказании услуг; 

- данные полученные при осуществлении пропускного режима; 

- другие данные полученные в иных законных целях. 

5.7. Перечень персональный данных обрабатываемые оператором. 

5.7.1. Перечень ПДн обрабатываемые в информационных системах Оператора: 

-фамилия, имя, отчество;

- пол; 

- гражданство; 

- дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт); 

- адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); 

- сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);     

- номера телефонов (домашний, мобильный, рабочий); 

- адрес электронной почты;

- замещаемая должность; 

- сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах)); 

- идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); 

- данные страхового свидетельства обязательного пенсионного страхования; 

- данные полиса обязательного медицинского страхования; 

- данные паспорта или иного удостоверяющего личность документа;     

- данные трудовой книжки, вкладыша в трудовую книжку; 

- сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе; 

- сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации); 

- сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам); 

- сведения о владении иностранными языками (иностранный язык, уровень владения); 

- сведения о дееспособности (реквизиты документа, устанавливающие опеку (попечительство), основания ограничения в дееспособности, реквизиты решения суда); 

- сведения о наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, дата (число, месяц, год) присвоения, реквизиты документа о награждении или поощрении); 

- сведения о дисциплинарных взысканиях; 

- сведения о семейном положении (состояние в браке (холост (не замужем), женат (замужем), повторно женат (замужем), разведен(а), вдовец (вдова), с какого времени в браке, с какого времени в разводе, количество браков, состав семьи, реквизиты свидетельства о заключении брака); 

- сведения о близких родственниках, свойственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания); 

- сведения, содержащиеся в справках о доходах, расходах, алиментов; - номер расчетного счета; 

- сведения о переводах на другую должность; 

- сведения об аттестации, повышении квалификации, профессиональной переподготовке; 

- сведения о социальных льготах; 

- сведения о страховых взносах; 

- идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); 

- иные сведения необходимые для осуществления уставной деятельности Оператора. 

6. Способы обработки ПДн

6.1. Оператор осуществляет обработку ПДн с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск ПДн, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПДн, и (или) доступ к таким ПДн. 

6.2. Оператор осуществляет обработку ПДн без использования средств автоматизации. 

7. Хранение ПДн 

7.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. 

7.2. ПДн, зафиксированные на бумажных носителях хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа. 

7.3. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках. 

7.4. Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) ИСПДн. 

7.5. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

8. Уничтожение ПДн 

8.1. Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. 

8.2. ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя. 

8.3. Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии. 

9. Передача ПДн 

9.1. Оператор передает ПДн третьим лицам в следующих случаях: 

- субъект выразил свое согласие на такие действия; 

- передача предусмотрена Российским или иным применимым законодательством в рамках установленной законодательством процедуры. 

9.2. Оператор является лицом, организующим обработку ПДн по поручению других операторов, к которым относятся: 

- пенсионный фонд РФ для учета (на законных основаниях); 

- налоговые органы РФ (на законных основаниях); 

- фонд социального страхования (на законных основаниях); 

- территориальный фонд обязательного медицинского страхования (на законных основаниях); 

- страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях); 

- налоговые органы РФ (на законных основаниях); 

- территориальный фонд обязательного медицинского страхования (на законных основаниях); 

- страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях); 

- банки для начисления заработной платы (на основании договора); 

- органы МВД в случаях, установленных законодательством Российской Федерации. 

9.3. Оператор не осуществляет трансграничную передачу ПДн. 

10. Защита ПДн 

10.1. Основными объектами системы безопасности ПДн Оператора являются: 

- информационные ресурсы с ограниченным доступом, содержащие ПДн; 

- информационные системы ПДн (программные комплексы); 

- процессы обработки ПДн в ИСПДн Оператора, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал; 

- информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых расположены технические средства обработки ПДн. 

10.2. Меры направленные на обеспечение выполнения Оператором, своих обязанностей по защите ПДн. 

10.2.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами. К таким мерам, в частности, относятся: 

- назначение ответственного за организацию обработки ПДн; 

- издание Политики, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 

- применение правовых, организационных и технических мер по обеспечению безопасности ПДн. 

10.2.2. Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям к защите ПДн, Политике, локальным актам Оператора. 

10.2.3. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушении ФЗ №152 «О ПДн», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральных законом «О ПДн». 

10.2.4. Ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, Политикой, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников. 

10.3. Меры по обеспечению безопасности ПДн при их обработке. 

10.3.1. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. 

10.3.2. Обеспечение безопасности ПДн достигается, в частности: 

- определением угроз безопасности ПДн при их обработке в информационных системах ПДн; 

- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивате установленные Правительством Российской Федерации уровни защищенности ПДн; 

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 

-оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн; - учетом машинных носителей ПДн; 

- обнаружением фактов несанкционированного доступа к ПДн и принятием мер реагирования на них; 

- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

- установлением правил доступа к ПДн, обрабатываемы в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн; 

- применением сертифицированных средств криптографической защиты информации; 

- созданием защищенных каналов связи с применением сертифицированных средств защиты информации; 

- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн; 

- установление индивидуальных паролей доступа работников в информационной системе ПДн в соответствии с их производственными обязанностями; 

- использованием сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами. 

10.3.3. Во исполнение настоящей Политики Оператором утверждаются следующие локальные нормативные правовые акты: 

- приказ о назначении постоянно действующей комиссии по защите ПДн; 

- положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в информационных системах ПДн; 

- положение о разрешительной системе допуска к информационным ресурсам информационных систем ПДн; 

- перечень информационных систем ПДн; 

- перечень работников, допущенных к работе с ПДн; 

- модели угроз безопасности ПДн при их обработке в информационных системах ПДн; 

- инструкция пользователя информационной системы ПДн; 

- инструкция администратора информационной безопасности ПДн; 

- приказ об утверждении мест хранения ПДн; 

- определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД. 

11. Основные права субъекта ПДн и обязанности оператора 

11.1. Основные права субъекта ПДн. 

11.2.1. Субъект ПДн имеет право на доступ к его персональным данным и следующим сведениям: 

- подтверждение факта обработки ПДн оператором; 

- правовые основания и цели обработки ПДн; 

- способы обработки ПДн, применяемые Оператором; 

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона; 

- сроки обработки ПДн, в том числе сроки их хранения; 

- порядок осуществления субъектом ПДн прав, предусмотренных ФЗ №152 «О ПДн»; 

- иные сведения, предусмотренные ФЗ №152 «О ПДн» или другими федеральными законами; 

- обращения к оператору и направления ему запросов; 

- обжалование действий или бездействия оператора путем обращения в уполномоченный орган по защите прав субъектов ПДн; 

- субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке. 

11.3. Обязанности Оператора. 

11.3.1. Оператор обязан:

- при сборе ПДн предоставить информацию об обработке ПДн; 

- в случаях, если ПДн были получены не от субъекта ПДн, уведомлять субъекта владельца ПДн; 

- при отказе в предоставлении ПДн субъектом ПДн (представителем, заявителем) разъяснять последствия такого отказа, в случае если предоставление ПДн является обязательным в соответствии с федеральным законом; 

- опубликовать или иным образом обеспечить неограниченный доступ к     документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн; 

- давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн. 

12. Обработка ПДн, осуществляемая без использования средств автоматизации 

12.1. Общие положения. 

12.1.1. Обработка ПДн, содержащихся в информационное системе ПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной) если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляется при непосредственном участии человека. 

12.2. Особенности организации обработки ПДн, осуществляемой без использования средств автоматизации. 

12.2.1. ПДн при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, (далее – материальные носители), в специальных разделах или на полях форм (бланков). 

12.2.2. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используется отдельный материальный носитель. 

12.2.3. Работники Оператора, осуществляющие неавтоматизированную обработку ПДн, проинформированы о факте обработки ими ПДн, обработка которых осуществляется Оператором неавтоматизированным способом, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора. 

12.2.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее типовая форма), соблюдаются следующие условия: 

- типовая форма или связанные с ней документы (инструкции по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки ПДн; 

- типовая форма предусматривает поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации – при необходимости получения письменного согласия на обработку ПДн;

- типовая форма составляется таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн; 

- типовая форма исключает объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы. 

12.2.5. При ведении журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находиться Оператор, или в иных аналогичных целях, соблюдается следующее условия: 

- необходимость ведения такого журнала (реестра, книг) предусмотрена приказом Оператора, содержащим сведениям о цели обработки ПДн, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов ПДн, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки ПДн, а также сведения о порядке пропуска субъекта ПДн на территорию, на которой находится Оператор, без подтверждения подлинности ПДн, сообщенных субъектом ПДн; 

- копирование содержащейся в таких журналах (реестрах, книг) информации не допускается; 

- ПДн каждого субъекта ПДн могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта ПДн на территорию на которой находится Оператор.

12.2.6. При несовместимости целей обработки ПДн, зафиксированных на одном материальной носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, Оператором принимаются меры по обеспечению раздельной обработки ПДн, в частности: 

- при необходимости использования или распространения определенных данных отдельно от находящихся на одном и том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн; 

- при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию. 

12.2.7. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производится способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе ПДн и информации, не являющейся ПДн. 

12.2.8. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн. 

12.3. Меры по обеспечению безопасности ПДн при их обработке, неавтоматизированным способом. 

12.3.1. Неавтоматизированная обработка ПДн осуществляется таким образом, чтобы в отношении каждой категории ПДн можно определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн, либо имеющих к ним доступ. 

12.3.2. Обеспечивается раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях. 

12.3.3. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором. 

13. Сферы ответственности 

13.1. Лица, ответственные за организацию обработки ПДн у Оператора. 

13.2. Оператор назначает лицо, ответственное за организацию обработки ПДн. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от исполнительного органа организации, являющейся Оператором, и подотчетно ему. 

13.3. Оператор предоставляет лицу, ответственному за организацию обработки ПДн, необходимые сведения. Лицо, ответственное за организацию обработки ПДн, в частности, выполняет необходимые функции: 

- осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации «О ПДн», в том числе требований к защите ПДн; 

- доводит до сведения работников Оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн; 

- организовывает прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов. 

13.2. Ответственность. 

13.2.1. Лица, виновные в нарушении требований ФЗ №152 «О ПДн», несут предусмотренную законодательством Российской Федерации ответственность. 

13.2.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных ФЗ №152 «О ПДн», а также требований к защите ПДн, установленных в соответствии с ФЗ №152 «О ПДн», подлежит возмещению в соответствии с законодательством. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков. 

14. Гарантии конфиденциальности 

14.1. Оператор обеспечивает конфиденциальность обрабатываемых им ПДн в порядке, предусмотренным федеральными законами. 

14.2. Обеспечение конфиденциальности не требуется в отношении: 

- ПДн после их обезличивания; 

- общедоступных ПДн. 

14.3. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений и в связи с оказанием платных услуг, предусмотренных Уставом, является конфиденциальной информацией и охраняется законом. 

14.4. Работники и иные лица, получившие доступ к обрабатываемым ПДн, предупреждены о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты ПДн. 

15. Заключительные положения 

15.1. Настоящая Политика разработана отделом информационных технологий Оператора. 

15.2. Настоящая Политика обязательна к исполнению всеми работниками Оператора, а также требования настоящей Политики распространяются и на иных лиц при необходимости их участия в процессе обработки ПДн Оператором, а также в случаях передачи им в установленном порядке ПДн на основании соглашений, договоров, поручений на обработку ПДн. 

15.3. Настоящая Политика может быть дополнена либо изменена. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам ПДн. 

15.4. Связанные политики отсутствуют.