1.1. Политика в отношении обработки персональных данных (далее – Политика) определяет основные принципы обработки и обеспечения безопасности персональных данных в Департаменте информационных технологий города Москвы (далее – Департамент) и подлежит актуализации в случае изменения законодательства Российской Федерации в области персональных данных (далее – ПДн), а также в случае изменения процессов обработки ПДн и применяемых мер защиты ПДн в Департаменте.
1.2. Политика разработана в соответствии с требованиями действующего законодательства Российской Федерации в области ПДн, в том числе Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»).
1.3. Действие Политики распространяется на все процессы обработки ПДн в Департаменте и на всех государственных гражданских служащих Департамента, участвующих в таких процессах.
В Политике используются следующие основные термины и определения:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных».
Оператор – Департамент информационных технологий города Москвы.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся, в том числе: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств автоматизации, а также обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Безопасность персональных данных – состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.
Информационная система персональных данных (ИСПДн) –совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3.1. Обработка ПДн осуществляется Департаментом на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей.
3.2. Не допускается обработка ПДн, несовместимая с целями сбора ПДн и объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
Содержание и объем обрабатываемых Оператором ПДн соответствуют заявленным целям обработки.
3.3. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
3.4. Оператором принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн.
3.5. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
3.6. Обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.7. Обработка ПДн осуществляется в соответствии с целями, заранее определенными и заявленными при сборе ПДн, а также возложенными на Оператора функций, полномочий и обязанностей в соответствии с законодательством Российской Федерации, а также нормативными и иными правовыми актами города Москвы.
3.8. Допускается обработка ПДн, разрешенных субъектом ПДн для распространения в соответствии со статьей 10.1 Федерального закона «О персональных данных».
3.9. Оператор осуществляет передачу ПДн субъектов ПДн третьим лицам в соответствии с требованиями законодательства Российской Федерации в области ПДн.
3.10. Оператор вправе поручить обработку ПДн другим лицам в соответствии со статьей 6 Федерального закона «О персональных данных».
3.11. В случаях поручения обработки ПДн другому лицу издается правовой акт или заключается договор, в том числе государственный контракт, и Оператор получает согласие субъектов ПДн, если иное не предусмотрено федеральным законом.
3.12. В случаях, когда Департамент поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Департамент. Лицо, осуществляющее обработку ПДн по поручению Департамента, несет ответственность перед Департаментом.
3.13. В Департаменте осуществляется как автоматизированная обработка ПДн, так и неавтоматизированная обработка ПДн.
3.14. Сроки обработки (в т.ч. хранения) ПДн, обрабатываемых Департаментом, определяются исходя из целей обработки ПДн и в соответствии с требованиями федеральных законов.
4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн;
- правовые основания и цели обработки ПДн;
- цели и применяемые способы обработки ПДн;
- наименование и место нахождения, сведения о лицах (за исключением служащих и работников Оператора государственных гражданских служащих Департамента), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Департаментом или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Департамента, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Департаментом обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
4.2. Субъект ПДн вправе требовать от Департамента уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Субъект ПДн имеет право на отзыв согласия на обработку ПДн, данного Департаменту.
4.4. Доступ субъекта ПДн к своим ПДн может быть ограничен в соответствии с федеральными законами, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
5.1. Департамент обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных». Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
5.2. Если предоставление ПДн субъектом ПДн является обязательным в соответствии с федеральным законом, Департамент обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
5.3. Департамент уведомляет субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн, за исключением случаев:
- субъект ПДн уведомлен об осуществлении обработки его ПДн Департаментом;
- ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
- обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется в соответствии с Федеральным законом «О персональных данных»;
- обработка ПДн осуществляется для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
- предоставление субъекту ПДн сведений, предусмотренных частью 3 статьи 18 Федерального закона «О персональных данных», нарушает права и законные интересы третьих лиц.
5.4. При сборе ПДн Департамент обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключение случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».
5.5. Департамент исполняет иные обязанности, предусмотренные законодательством Российской Федерации.
6.1. Департамент при обработке ПДн принимает правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с требованиями законодательства Российской Федерации.
6.2. В Департаменте принимаются следующие меры безопасности:
6.2.1. Назначено лицо, ответственное за организацию обработки ПДн.
6.2.2. Утверждаются и вводятся следующие документы по вопросам обработки и обеспечению безопасности ПДн:
- правила обработки ПДн, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
- правила рассмотрения Департаментом запросов субъектов ПДн или их представителей;
- правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн;
- перечень ИСПДн;
- перечень ПДн, обрабатываемых в Департаменте;
- перечень должностей государственных гражданских служащих Департамента, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;
- типовое обязательство государственного гражданского служащего Департамента, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей;
- типовая форма согласия на обработку ПДн государственных гражданских служащих Департамента, иных субъектов ПДн, а также типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн;
- должностные обязанности ответственного за организацию обработки ПДн в Департаменте;
- порядок доступа государственных гражданских служащих Департамента в помещения, в которых ведется обработка ПДн.
6.2.3. Приняты правовые, организационные и технические меры по обеспечению безопасности ПДн при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите ПДн при их обработке, исполнение которых обеспечивает установленные уровни защищенности ПДн.
6.2.4. При обработке ПДн, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6.2.5. Осуществляется ознакомление государственных гражданских служащих Департамента, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о ПДн (в том числе с требованиями к защите ПДн), локальными актами по вопросам обработки ПДн.
6.2.6. Определены (и при необходимости пересматриваются) актуальные угрозы безопасности ПДн, установлены уровни защищенности ПДн при их обработке в ИСПДн Департамента.
6.2.7. Осуществлена оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований законодательства Российской Федерации в области ПДн, соотношение указанного вреда и принимаемых Департаментом мер, направленных на обеспечение выполнения требований, установленных законодательством Российской Федерации в области ПДн.
6.2.8. Применены правовые, организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн.
6.2.9. В качестве средств защиты информации используются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области защиты информации.
6.2.10. Проводится внутренний контроль соблюдения законодательства Российской Федерации в области ПДн, в том числе требований к защите ПДн.
6.2.11. Государственные гражданские служащие Департамента ознакомлены с положениями законодательства Российской Федерации в области ПДн, локальными актами по вопросам обработки ПДн, с требованиями к защите ПДн.
6.2.12. Проводится оценка эффективности применяемых мер по обеспечению безопасности ПДн.
7.1. Обращения и запросы могут быть направлены субъектом ПДн или его представителем в адрес Департамента:
- посредством почтовой связи в письменной форме на бумажном носителе за собственноручной подписью по адресу: 123112, г.Москва, 1‑Красногвардейский проезд, д.21, стр.1;
- через электронную приемную Департамента (https://www.mos.ru/feedback/reception/?department=20614090) в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации об электронной подписи.
7.2. Обращение (запрос) должно содержать:
- номер и серия основного документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта ПДн в отношениях с Департаментом, либо сведения иным способом, подтверждающие факт обработки ПДн субъекта ПДн Департаментом;
- номер и серия основного документа, удостоверяющего личность представителя субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, копия доверенности или иного документа, подтверждающего полномочия представителя субъекта ПДн (в случае обращения представителя субъекта ПДн);
- подпись субъекта ПДн (в случае обращения представителя субъекта ПДн – подпись представителя субъекта ПДн).
7.3. Права субъектов ПДн определяются статьями 14-17 Федерального закона «О персональных данных».
7.4. Департамент в сроки и порядке, установленные Федеральным законом «О персональных данных», а также локальными нормативными актами Департамента, обеспечивает рассмотрение обращений и запросов субъектов ПДн, внесение соответствующих изменений или прекращение обработки, блокирование, обезличивание, уничтожение ПДн субъекта ПДн, если иное не установлено федеральным законом.
7.5. Ответы на обращения или запросы субъектов ПДн или их представителей отправляются в соответствии с Федеральным законом «О персональных данных» в той форме, в которой направлены соответствующие обращения либо запросы, если иное не указано в самом обращении или запросе.
8.1. Согласие на обработку ПДн может быть отозвано субъектом ПДн.
8.2. Отзыв согласия на обработку ПДн может быть направлен в адрес Департамента субъектом ПДн или его представителем одним из следующих способов:
- посредством почтовой связи в письменной форме на бумажном носителе за собственноручной подписью по адресу: 123112, г.Москва, 1‑Красногвардейский проезд, д.21, стр.1;
- через электронную приемную Департамента
(https://www.mos.ru/feedback/reception/?department=20614090) в форме электронного
документа, подписанного электронной подписью в соответствии
с законодательством Российской Федерации об электронной подписи.
8.3. Отзыв согласия на обработку ПДн должен содержать: сведения, позволяющие подтвердить принадлежность ПДн лицу, направляющему отзыв, такие как: номер и серия основного документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, адрес электронной почты, номер телефона, иные данные, используемые субъектом ПДн при получении доступа к государственным ресурсам, услугам, функциям, сервисам; сведения, свидетельствующие об осуществлении обработки ПДн субъекта ПДн Департаментом, а также подпись субъекта ПДн или его представителя.
В случае направления отзыва согласия на обработку ПДн представителем субъекта ПДн, отзыв также должен содержать номер и серию основного документа, удостоверяющего личность представителя субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, копию доверенности или иного документа, подтверждающего полномочия представителя субъекта ПДн.
8.4. Права субъектов ПДн определяются статьями 14-17 Федерального закона «О персональных данных».
8.5. В случае отзыва субъектом персональных данных согласия на обработку ПДн Департамент:
- прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Департамента);
- вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».
8.6. В случае, если сохранение ПДн более не требуется для целей обработки ПДн, Департамент обязан уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение срока, указанного в частях 3, 4, 5 статьи 21 Федерального закона «О персональных данных», если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если Департамент не вправе осуществлять обработку ПДн без согласия субъекта ПДн по основаниям, предусмотренным Федеральным законом «О персональных данных» или другими федеральными законами.
8.7. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 8.6 Политики, Департамент осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.