1.1. Настоящая Политика федерального бюджетного учреждения Дальневосточный региональный центр судебной экспертизы Министерства юстиции Российской Федерации в отношении обработки персональных данных (далее соответственно – Политика, Учреждение) подготовлена в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами Российской Федерации.
1.2. Политика является основополагающим документом, определяющим общие принципы, цели, способы, объем и порядок обработки персональных данных в Учреждении, а также меры по обеспечению безопасности при их обработке.
1.3. Целью разработки Политики является создание в Учреждении единой системы взглядов и понимания целей, принципов и порядка обработки персональных данных.
1.4. Политика определяет основные категории персональных данных, обрабатываемых Учреждением, цели, способы и принципы обработки, права и обязанности работников Учреждения при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Учреждением в целях обеспечения безопасности персональных данных при их обработке.
1.5. Политика подлежит публикации на веб-сайте Учреждения в целях ознакомления с ней неограниченного круга лиц.
1.6. Политика распространяется на все действия Учреждения, в рамках которых осуществляется обработка персональных данных с использованием средств автоматизации и без использования таких средств.
1.7. Политика предназначена для работников Учреждения, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Учреждения при обработке персональных данных.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3.1. Правовыми основаниями обработки в Учреждении персональных данных являются:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— процессуальное законодательство Российской Федерации;
— Федеральный закон от 31.05.2006 года № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации»;
— Федеральный закон от 27.07.2006 года №152-ФЗ «О персональных данных»;
— Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный законот 02.05.2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
— постановление Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— постановление Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— устав Учреждения;
— иные нормативные правовые акты Российской Федерации и нормативные правовые документы уполномоченных органов государственной власти.
3.2. Во исполнение настоящей Политики в Учреждении утверждены следующие локальные правовые акты:
— приказ о назначении ответственного лица за организацию обработки персональных данных;
— перечень обрабатываемых персональных данных;
— перечень должностей, замещение которых предусматривает осуществление обработки персональных данных;
— правила рассмотрения запросов субъектов персональных данных или их представителей;
— правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
— типовая форма согласия на обработку персональных данных работника Учреждения, иных субъектов персональных данных;
— иные локальные правовые акты Учреждения, принимаемые во исполнение требований нормативных правовых актов Российской Федерации в области обработки персональных данных.
4.1. Учреждение осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных.
4.2.Учреждение обрабатывает персональные данные для осуществления предусмотренной уставом Учреждения деятельности.
4.3. Цели сбора и обработки персональных данных:
4.3.1. Организация в соответствии с законодательством Российской Федерации производства судебных экспертиз по уголовным, гражданским, арбитражным, административным делам и экспертных исследований при проверке сообщения о преступлении.
4.3.2. Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов Российской Федерации. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников Учреждения.
4.2.3. Обеспечение пропускного и внутриобъектового режимов на территории Учреждения.
4.2.4. Заключение и исполнение договоров, стороной которых является граждане.
4.2.5. Рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа. Осуществление личного приема граждан.
5.1. Сведениями, составляющими персональные данные, в Учреждении является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
5.2. Учреждение обрабатывает персональные данные следующих субъектов персональных данных:
— работников Учреждения, в том числе бывших работников, родственников работников Учреждения;
— граждан, заключивших с Учреждением гражданско-правовые договора;
— физических лиц, обратившихся в Учреждение.
6.1. Учреждение как оператор персональных данных вправе:
— отстаивать свои интересы в суде;
— предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
— отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
— использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации.
6.2. Учреждение как оператор персональных данных обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным закономот 27.07.2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами Российской Федерации.
6.3. Субъект персональных данных имеет право:
— требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— требовать перечень своих персональных данных, обрабатываемых Учреждением, и источник их получения;
— получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
— требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.4. Субъект персональных данных вправе осуществлять иные права и исполнять обязанности, предусмотренные законодательством Российской Федерации.
7.1. Обработка персональных данных в Учреждении осуществляется на основе принципов:
— законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;
— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
— уничтожения по достижении целей обработки персональных данных и в случае утраты необходимости в их достижении.
7.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
7.3. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.4. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
7.5. К обработке персональных данных допускаются работники Учреждения, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
7.6.Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
7.7. Субъект персональных данных самостоятельно решает вопрос передачи Учреждению своих персональных данных.
7.8. Материалы видеосъемки, осуществляемой на территории Учреждения, не используются Учреждением для установления личностей граждан.
7.9. Учреждение осуществляет обработку персональных данных, касающихся состояния здоровья, в случае получения согласия от субъекта персональных данных на обработку указанных данных или в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации.
7.10. Учреждение предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
7.10.1. Назначение работника Учреждения, ответственного за организацию обработки персональных данных.
7.10.2. Издание локальных актов Учреждения по вопросам обработки персональных данных, ознакомление с ними работников, ознакомление работников с настоящей Политикой и требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, обучение пользователей информационных систем персональных данных;
7.10.3. Обеспечение физической безопасности помещений и средств обработки персональных данных, пропускной режим, охрана, видеонаблюдение.
7.10.4. Ограничение и разграничение доступа работников Учреждения к персональным данным и средствам их обработки, мониторинг действий с персональными данными в Учреждении.
7.10.5. Определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз.
7.10.6. Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке.
7.10.7. Учет и хранение носителей информации, исключающие их хищение, подмену, несанкционированное копирование и уничтожение.
7.10.8. Резервное копирование информации для возможности восстановления.
7.10.9. Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
7.11. Учреждение прекращает обработку персональных данных при достижении целей обработки персональных данных, истечении срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных, а также выявлении неправомерной обработки персональных данных.
8.1. Учреждение осуществляет актуализацию и исправление персональных данных при подтверждении факта неточности персональных данных либо при направлении субъектом персональным данным или его законным представителем запроса на уточнение/актуализацию персональных данных.
8.2. Учреждение уничтожает обрабатываемые персональные данные при наступлении следующих условий и в следующие сроки:
— достижение указанных в пункте 4.3 настоящей Политики целей обработки персональных данных или максимальных сроков хранения — в течение 30 (тридцати) дней;
— утрата необходимости в достижении целей обработки персональных данных — в течение 30 (тридцати) дней;
— предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 (семи) дней;
— невозможность обеспечения правомерности обработки персональных данных — в течение 10 (десяти) дней;
— отзыв субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 (тридцати) дней;
— истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
— ликвидация (реорганизация) Учреждения.
9.1. Прием и регистрация запросов субъектов персональных данных.
Субъект персональных данных может направить запрос как в письменной, так и в электронной форме.
К письменным запросам субъектов персональных данных относятся любые письменные обращения, направленные в Учреждение, в том числе обращения, отправленные через отделения почтовой связи.
К электронным запросам субъектов персональных данных относятся обращения, направленные по электронной почте. В данном случае запрос подписывается электронной подписью субъекта персональных данных в соответствии с законодательством Российской Федерации.
Учреждением не обрабатываются запросы, связанные с передачей или разглашением персональных данных, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность субъекта персональных данных.
Первичный учет поступивших запросов от субъектов персональных данных осуществляется в соответствии с правилами внутреннего документооборота Учреждения.
9.2. Прием и регистрация личных обращений субъектов персональных данных.
К личным обращениям субъектов персональных данных относятся обращения при непосредственном посещении субъектов персональных данных (или его законным представителем) Учреждения.
Прием личных обращений субъектов персональных данных (или их законных представителей) осуществляют работники Учреждения, назначенные ответственными за организацию обработки персональных данных.
При поступлении личного обращения субъектом персональных данных работником Учреждения, назначенным ответственным за организацию обработки персональных данных, выясняются:
— фамилия, имя и отчество субъекта персональных данных или его законного представителя;
— реквизиты документа, удостоверяющего личность субъекта персональных данных или его законного представителя (серия, номер, сведения о дате выдачи и выдавшем органе);
— суть обращения.
При личном обращении субъекта персональных данных работник Учреждения, назначенный ответственным за организацию обработки персональных данных, должен предоставить субъекту персональных данных возможность для оформления письменного запроса.
Обращения, изложенные на бумаге, принимаются для рассмотрения в соответствии с порядком, указанным в пункте 9.1настоящей Политики.
9.3. Порядок рассмотрения запросов и обращений от субъектов персональных данных.
Письменный ответ субъекту персональных данных (или его законному представителю) направляется Учреждением вне зависимости от формы запроса субъекта персональных данных (письменный или электронный) и результатов рассмотрения запроса или обращения. Подготовка ответов субъекту персональных данных (или его законному представителю) осуществляется работником Учреждения, назначенным ответственным за организацию обработки персональных данных.
Запросы и обращения субъектов персональных данных (или их законных представителей) проверяются на наличие:
— фамилии, имени и отчества заявителя;
— фамилии, имени и отчества субъекта персональных данных;
— номера основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведений о дате выдачи указанного документа и выдавшем органе;
— собственноручной подписи субъекта персональных данных (или его законного представителя) — для письменных запросов и обращений;
— электронная подпись — для электронных запросов.
В случае необходимости работник Учреждения, назначенный ответственным за организацию обработки персональных данных, запрашивает дополнительную информацию у субъекта персональных данных (или его законного представителя).
Срок предоставления ответа субъекту персональных данных (или его законному представителю) не превышает 30 (тридцати) рабочих дней с момента регистрации обращения.
В сведениях, предоставляемых субъекту персональных данных (или его законному представителю) в доступной форме, не должно содержатся персональных данных, относящиеся к другим субъектам персональных данных.
10.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации, в том числе специальных нормативных актов по обработке и защите персональных данных.
10.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.
10.3.Контроль за исполнением требований настоящей Политики осуществляется должностным лицом, ответственным за организацию обработки персональных данных в Учреждении.