Политика государственного автономного учреждения Нижегородской области «Центр координации проектов цифровой экономики» в отношении обработки персональных данных в информационной системе «Единый информационный портал для граждан с инвалидностью и ограниченными возможностями здоровья
в Нижегородской области «Точка доступа»

 

  1. Общие положения
    • Настоящий документ (далее – Политика) определяет политику государственного автономного учреждения Нижегородской области «Центр координации проектов цифровой экономики» (далее – ГАУ НО «ЦИТ», Оператор): 603000, г. Нижний Новгород, ул. Ульянова, 10А, помещ.П8, являющегося оператором информационной системы «Единый информационный портал для граждан с инвалидностью и ограниченными возможностями здоровья в Нижегородской области «Точка доступа» (далее – ИС Портал «Точка доступа») в соответствии с постановлением Правительства Нижегородской области от 29 апреля 2021 г. №360 «О едином информационном портале для граждан с инвалидностью и ограниченными возможностями здоровья в Нижегородской области «Точка доступа», в отношении обработки персональных данных в ИС Портал «Точка доступа».
    • Настоящая Политика определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных при их обработке в ИС Портал «Точка доступа».
    • Общедоступная часть ИС Портал «Точка доступа» представляет собой web-портал, расположенный в информационно-телекоммуникационной сети Интернет по адресу td52.ru (далее – Сайт).
    • Положения настоящей Политики являются основой для разработки и актуализации распорядительных и организационно-правовых документов Оператора, регламентирующих процессы обработки персональных данных в ИС Портал «Точка доступа», а также порядок реализации мер для защиты обрабатываемых персональных данных.
    • Политика разработана с целью соблюдения требований Федерального закона от
      27 июля 2006 г. №152-ФЗ «О персональных данных».
    • Основные понятия, используемые в Политике, применяются в соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных»:
      • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
      • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
      • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
      • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
      • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
      • Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
      • Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
      • Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
      • Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
      • Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
    • Работники Оператора, получившие доступ к персональным данным, обязаны соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
    • По вопросам положений настоящей Политики и ее реализации запрос/уведомление может быть направлено Оператору по адресу: 603000, г. Нижний Новгород, ул. Ульянова, 10А, помещ.П8.

 

  1. Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных являются:

  • постановление Правительства Нижегородской области от 29 апреля 2021 г. №360 «О едином информационном портале для граждан с инвалидностью и ограниченными возможностями здоровья в Нижегородской области «Точка доступа»»;
  • согласие на обработку персональных данных.

 

  1. Цели обработки персональных данных

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.2. К целям обработки персональных данных Оператором в ИС Портал «Точка доступа» относятся:

  • заполнение анкеты организации, представляющей собой форму сбора, хранения и редактирования актуальной информации об организации;
  • заполнение анкеты пользователя в рамках регистрации граждан в ИС Портал «Точка доступа» с целью получения информации об организациях, деятельность которых ориентирована на работу, в том числе с целевой аудиторией ИС Портал «Точка доступа», услугах, предоставляемых такими организациями, а также о мероприятиях, которые могут потенциально попадать в сферу интересов гражданина – субъекта персональных данных.

 

  1. Объем и категорирование обрабатываемых данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

4.2. Оператор в ИС Портал «Точка доступа» обрабатывает следующие данные субъектов персональных данных:

4.2.1. С целью заполнения анкеты организации, представляющей собой форму сбора, хранения и редактирования актуальной информации об организации, - иные категории персональных данных субъектов, не являющихся сотрудниками Оператора, в составе:

  • фамилия, имя, отчество;
  • номер телефона (может быть указан мобильный или городской телефон руководителя или приемной).

4.2.2. С целью заполнения анкеты пользователя в рамках регистрации граждан в ИС Портал «Точка доступа» - иные категории персональных данных субъектов, не являющихся сотрудниками Оператора, в составе:

  • фамилия, имя;
  • дата рождения;
  • место проживания (город);
  • контактный номер;
  • адрес электронной почты;
  • фото.

 

  1. Порядок и условия обработки персональных данных

5.1. При обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки.

5.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.

5.3. Оператором при осуществлении обработки персональных данных в ИС Портал «Точка доступа» соблюдаются принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных», соблюдается конфиденциальность персональных данных, принимаются необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г.№152-ФЗ «О персональных данных».

5.4. Обработка персональных данных осуществляется с использованием средств автоматизации (автоматизированная обработка персональных данных), а также без использования средств автоматизации.

5.5. Обработка персональных данных осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

5.6. При обработке персональных данных трансграничная передача персональных данных не осуществляется.

5.7. Оператор вправе поручить обработку (или привлечь к оказанию услуг по обработке), при наличии соответствующего разрешения другому лицу на основании заключаемого с этим лицом договора.

Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г.№152-ФЗ «О персональных данных».

5.8. Оператор вправе передавать персональные данные уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.9. Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.10. Оператор при обработке персональных данных принимают необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных», постановлением Правительства от 1 ноября 2012 г.  №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативно-правовыми актами.

5.11. Сайт использует файлы cookie (временные файлы, устанавливаемые Яндекс Метрикой), чтобы улучшить работу, повысить эффективность и удобство. При посещении Сайта пользователь подтверждает свое согласие на использование файлов cookie, которые не содержат сведений, на основании которых можно идентифицировать пользователя. Большинство интернет-браузеров изначально настроены на автоматический прием файлов cookie. Если пользователь не согласен на использование данного типа файлов, он должен соответствующим образом установить настройки браузера. Яндекс Метрика предоставляет обезличенную информацию о посещаемости Портала (количество посетителей, источники их визитов, а также поведение посетителей на страницах сайта).

 

  1. Перечень действий с персональными данными

Оператор осуществляет обработку персональных данных с использованием средств автоматизации: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

 

  1. Сроки обработки и хранения данных

7.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.

7.2. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.3. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, утрата необходимости в достижении этих целей, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

 

  1. Удаление и уничтожение данных

8.1. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора:

  • в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение;
  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено на основаниях, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» или другими федеральными законами;
  • в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.2. Отбор персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения и их дальнейшее уничтожение производится комиссией, назначенной Оператором, не реже одного раза в год, а также в сроки, указанные в п. 8.1 настоящей Политики, при поступлении информации от субъектов персональных данных (их представителей), уполномоченного органа по защите прав субъектов персональных данных (случаи неправомерной обработки, отзыв согласия на обработку и т. п.).

8.3. Уничтожение персональных данных осуществляется путем уничтожения носителя персональных данных (путем неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных), либо уничтожением файлов с персональными данными, расположенные на жестком диске персонального компьютера, либо уничтожением строк баз данных, с последующим составлением акта уничтожения и выгрузки из журнала регистрации событий в ИС Портал «Точка доступа».

  1. Реализуемые требования к защите персональных данных

9.1. Реализация требований к защите персональных данных от неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными, в рамках эксплуатации ИС Портал «Точка доступа» осуществляется правовыми, организационными и техническими мерами.

9.2. Принимаемые организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, реализованы в соответствии с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», постановления Правительства от 1 ноября 2012 г.  №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативно-правовыми актами.

9.3. Принимаемые меры защиты информации в ИС Портал «Точка доступа» соответствуют актуальным требованиям безопасности информации, что подтверждается заключением по результатам проведения оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в информационной системе.

 

  1. Права субъекта персональных данных

10.1. Субъект персональных данных имеет право в соответствии с частью 7 статьи 14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», на получение информации (через запрос в адрес Оператора), касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных;
  • правовые основания и цели обработки персональных данных;
  • цели и способы обработки персональных данных;
  • наименование и место нахождение Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
  • иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

10.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Ответственность перед субъектом персональных данных несет Оператор.

 

  1. Дополнительные условия

11.1. Оператор оставляет за собой право вносить изменения в настоящую Политику.

11.2. Субъект персональных данных всегда может ознакомиться с актуальной версией Политики, направив соответствующий запрос в адрес Оператора, а также на сайте в информационно-телекоммуникационной сети Интернет по адресу www.td52.ru.