Политика конфиденциальности МИМП

ПОЛИТИКА

обработки и защиты персональных данных в Министерстве информации

и молодежной политики Московской области

I. Общие положения

1. Политика обработки и защиты персональных данных в Министерстве информации и молодежной политики Московской области (далее – Политика) определяет порядок обработки и защиты персональных данных в Министерстве информации и молодежной политики Московской области (далее – Оператор, МИМП Московской области) с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Политика разработана на основании Конституции Российской Федерации и в соответствии с Федеральным законом от 27.07.2006 № 152 «О персональных данных» (далее – Федеральный закон «О персональных данных»), постановлением Правительства Российской Федерации от 21.03.2012
№ 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
и рекомендациями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31.07.2017 «Рекомендации по составлению документа, определяющего политику Оператора
в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
К настоящей Политике должен иметь доступ любой субъект персональных данных.
3. В настоящей Политике используются следующие основные понятия:
персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных);
Оператор – МИМП Московской области – центральный исполнительный орган Московской области, самостоятельно или совместно с другими лицами, действующий по поручению Оператора, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
субъект персональных данных – физическое лицо, которое прямо
или косвенно определено, или прямо или косвенно определяемо;
информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
обработка персональных данных – любое действие (операция)
или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима
для уточнения персональных данных);
конфиденциальность персональных данных – обязательное для соблюдения Оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
защита персональных данных – комплекс мероприятий, направленных на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
4. Оператор обязан:
соблюдать конфиденциальность персональных данных – не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных»;
при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием
баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных»;
разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;
предоставить безвозмездно субъекту персональных данных
или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении, при получении запроса субъекта персональных данных или его представителя дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющегося основанием для такого отказа;
принимать меры для обеспечения безопасности персональных данных
и выполнения обязанностей, предусмотренных Федеральным законом
«О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
5. Субъект персональных данных имеет право:
на получение сведений, указанных в части 7 статьи 14 Федерального закона «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных»;
требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав;
обратиться повторно к Оператору или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона «О персональных данных», и ознакомления с такими персональными данными.
6. Оператор персональных данных имеет право:
поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах
2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных»;
отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона «О персональных данных»;
осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, указанных в части 2 статьи 22 Федерального закона «О персональных данных».

II. Принципы и цели обработки персональных данных

7. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных и в рамках реализации полномочий, установленных Положением о Министерстве информации и молодежной политики Московской области, утвержденным постановлением Правительства Московской области от 28.04.2022 № 441/14
«О Министерстве информации и молодежной политики Московской области» (далее – Положение о МИМП Московской области), в целях:
1) обеспечения кадровой работы в связи с прохождением государственной гражданской службы и реализацией трудовых отношений;
2) организации приема граждан, обеспечения своевременного и в полном объеме рассмотрения устных и письменных, индивидуальных или коллективных обращений граждан, направленных лично или в форме электронного документа;
3) предоставления государственных услуг;
4) осуществления закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд путем проведения конкурсов, аукционов, запросов котировок, осуществления закупок у единственного поставщика, а также в целях исполнения иных договоров и соглашений;
5) осуществления бухгалтерского учета и обеспечения финансово-хозяйственной деятельности;
6) регистрации и предоставления пользователям доступа к информационным системам МИМП Московской области, ведения истории социальной активности пользователей, организации и обеспечения участия в мероприятиях и конкурсах;
7) проведения мониторингов, информационных кампаний, а также кампаний по продвижению государственных и муниципальных услуг в информационно-телекоммуникационной сети «Интернет»;
8) в иных целях, предусмотренных Положением о МИМП Московской области и иными нормативными правовыми актами Российской Федерации и законодательством Московской области.
8. Обработка персональных данных Оператором основана на следующих принципах:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой, не допускается;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

III. Правовые основания обработки персональных данных

9. Правовыми основаниями обработки персональных данных являются следующие правовые акты (включая перечисленные ниже, но не ограничиваясь ими):
Трудовой кодекс Российской Федерации;
Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
Указ Президента Российской Федерации от 30.05.2005 № 609
«Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Операторами, являющимися государственными или муниципальными органами»;
постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке
в информационных системах персональных данных»;
распоряжение Правительства Российской Федерации от 26.05.2005 № 667-р
«Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации»;
Закон Московской области № 39/2005-ОЗ «О государственной гражданской службе Московской области»;
Закон Московской области № 164/2006-ОЗ «О рассмотрении обращений граждан»;
Закон Московской области № 168/2006-ОЗ «Об улучшении жилищных условий государственных гражданских служащих Московской области»;
распоряжение Губернатора Московской области от 27.12.2013 № 516-РГ
«О вводе в промышленную эксплуатацию межведомственной системы электронного документооборота Московской области»;
постановление Губернатора Московской области от 27.10.2021 № 397-ПГ «Об утверждении Инструкции об организации пропускного и внутриобъектового режимов в административных зданиях, занимаемых Правительством Московской области, Московской областной Думой, центральными исполнительными органами государственной власти Московской области, государственными органами Московской области, организациями, и на прилегающих к ним охраняемых территориях»;
постановление Правительства Московской области от 28.04.2022 № 441/14 «О Министерстве информации и молодежной политики Московской области».
постановление Губернатора Московской области от 21.06.2022 № 201-ПГ «Об утверждении Правил делопроизводства в исполнительных органах государственной власти Московской области, государственных органах Московской области».

IV. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

10. В рамках своих полномочий Оператор обрабатывает следующие персональные данные: гражданство, фамилия, имя, отчество (при наличии), год, месяц и дата рождения, пол, место рождения, адрес регистрации по месту жительства и (или) пребывания (при наличии), имущественное положение, контактный телефон, семейное положение, образование, профессия, доходы, индивидуальный номер налогоплательщика (ИНН), номер страхового свидетельства государственного пенсионного страхования (СНИЛС), номер полиса обязательного (добровольного) медицинского страхования, сведения о документах, удостоверяющих личность, иная информация, относящаяся прямо или косвенно к субъекту персональных данных, соответствующие цели обработки персональных данных.
11. Категории субъектов персональных данных, обрабатываемых Оператором:
работники Оператора (осуществляющие свою служебную деятельность
на должностях государственной гражданской службы Московской области
и на должностях, не являющихся должностями государственной гражданской службы Московской области), в том числе бывшие, члены их семей, а также
их близкие родственники, в соответствии с законодательством Российской Федерации о противодействии коррупции;
граждане, претендующие на замещение вакантных должностей государственной гражданской службы Московской области, состоящие в кадровом резерве Оператора и (или) Московской области;
граждане, претендующие на замещение вакантных должностей,
не являющихся должностями государственной гражданской службы Московской области;
граждане, обратившиеся к Оператору с предложением, жалобой, заявлением;
граждане, обратившиеся к Оператору для получения государственной услуги;
посетители Оператора;
пользователи информационных систем МИМП Московской области;
иные категории субъектов персональных данных, в рамках деятельности Оператора.
12. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

V. Порядок и условия обработки персональных данных

13. Оператор осуществляет обработку персональных данных с использованием средств автоматизации или без использования таких средств.
14. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных» и настоящей Политикой, и допускается в случаях, установленных частью 1 статьи 6 Федерального закона «О персональных данных».
15. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия нормативного правового акта Московской области. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и настоящей Политикой.
16. Оператор обязан соблюдать установленные Федеральным законом
«О персональных данных» сроки при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных
или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, в том числе по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
17. Оператор обязан принимать меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Состав
и перечень мер Оператор определяет самостоятельно.
18. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
19. Условиями прекращения обработки персональных данных являются:
достижение целей обработки персональных данных;
истечение срока действия согласия;
отзыв согласия субъекта персональных данных на обработку
его персональных данных;
требование субъекта персональных данных, направленное Оператору
и включающее в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению;
выявление неправомерной обработки персональных данных.

VI. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных на доступ

к персональным данным

20. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо
по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных,
или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки.
21. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение и снять блокирование персональных данных в течение семи рабочих дней
со дня представления таких сведений и снять блокирование персональных данных.
22. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных
или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок,
не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные
или обеспечить их уничтожение.
23. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить
ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок,
не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
24. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку
или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора)
и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные
или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок,
не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем
или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
25. В случае обращения субъекта персональных данных к Оператору
с требованием о прекращении обработки персональных данных, Оператор обязан
в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
26. В случае отсутствия возможности уничтожения персональных данных
в течение срока, указанного в пунктах 24 и 25 настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает
их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок
не установлен законодательством Российской Федерации.