Политика обработки персональных данных

Приложение №6

к приказу региональной службы
по тарифам Кировской области
от 16.01.2025 № 5-од

ПОЛИТИКА
обработки и защиты персональных данных
региональной службы по тарифам Кировской области

1. Общие положения

1.1. Настоящий документ (далее – Политика) определяет политику региональной службы по тарифам Кировской области (далее – Оператор, служба) в отношении обработки персональных данных и определяет цели, содержание, правила и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.

1.2. Основные понятия, применяемые в Политике, используются в тех значениях, в каких они определены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон от 27.07.2006 № 152-ФЗ).

1.3. Права и обязанности Оператора и субъектов персональных данных регламентируются в соответствии с законодательством Российской Федерации и Кировской области, а также нормативно-правовыми актами Оператора.

1.4. Обработка персональных данных осуществляется в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных

2. Название и адрес Оператора персональных данных

2.1. Региональная служба по тарифам Кировской области ИНН 4345163236, ОГРН 1074345002665, юридический адрес: 610000, г. Киров, ул. Дерендяева, 23.

2.2. Ответственным лицом за организацию обработки и обеспечение безопасности персональных данных Оператора назначен начальник отдела организационной работы и бухгалтерского учета.

3. Цели обработки персональных данных

3.1. Оператор осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных, а именно обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Оператор обрабатывает персональные данные для осуществления своей деятельности в соответствии с Положением о региональной службе по тарифам Кировской области, утвержденным постановлением Правительства Кировской области от 01.09.2008 № 144/365 (далее – Положение), но не ограничиваясь, для достижения следующих целей:

3.2.1. Обеспечение реализации функций (полномочий), предусмотренных в Положении, в соответствии с законодательством Российской Федерации и Кировской области, а также нормативно-правовыми актами Оператора.

3.2.2. Ведение кадрового делопроизводства, при условии соблюдения требований действующего законодательства, в том числе:

3.2.2.1. Заключение, изменение, сопровождение, прекращение трудовых служебных контрактов (договоров) между работником и Оператором. 

3.2.2.2. Обеспечение социальных гарантий, начисления заработной платы. 

3.2.2.3. Обеспечение возможности обучения и должностного роста работников. 

3.2.2.4. Проведение кадровых конкурсов на замещение вакантных должностей и в кадровый резерв.

3.2.2.5. Противодействие коррупции, в том числе учёт сведений о доходах, об имуществе и обязательствах имущественного характера гражданских служащих и членов их семей, определённых законодательством.

3.2.3. Обеспечение пропускного и внутриобъектового режимов в зданиях Правительства Кировской области.

3.2.4. Заключение и исполнение договоров, соглашений, стороной которых является субъект персональных данных (за исключением кадрового делопроизводства).

3.2.5. Рассмотрение обращений граждан, направленных в устной, письменной форме либо в форме электронного документа. Осуществление личного приема граждан.

3.2.6. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

3.2.7. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

4. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных является совокупность нормативно-правовых актов и документов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных. 

5. Категории субъектов, персональные данные которых обрабатываются Оператором

К категориям субъектов персональных данных могут быть отнесены, в том числе:

1) Государственные гражданские служащие Оператора.

2) Граждане, претендующие на замещение должностей государственной гражданской службы у Оператора.

3) Работники службы, замещающие должности, не являющиеся должностями государственной гражданской службы.

4) Граждане, претендующие на замещающие должностей, не являющихся должностями государственной гражданской службы.

5) Участники кадровых конкурсов для зачисления в кадровый резерв Оператора. 

6) Ветераны Оператора.

7) Установленные законодательством члены семей государственных гражданских служащих.

8) Граждане Российской Федерации, предоставившие персональные данные для получения государственной услуги, предоставляемой службой.

9) Иные граждане Российской Федерации, чьи персональные данные обрабатывает Оператор.

6. Перечень обрабатываемых персональных данных

В состав персональных данных входят следующие сведения:

1) Фамилия, имя, отчество, гражданство, сведения об их изменении (смене).

2) Дата и место рождения.

3) Владение иностранными языками и языками народов Российской Федерации.

4) Образование (когда и какие образовательные учреждения закончил, номера и дата выдачи дипломов, направление подготовки или специальность (квалификация) по диплому).

5) Послевузовское профессиональное образование (наименование образовательного или научного учреждения, номер свидетельства или диплома, дата выдачи, программа, направление и специальной переподготовки, сроки обучения), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов).

6) Выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.), стаж (дата увольнения, номер и дата приказа, причина увольнения), должность.

7) Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены), материалы по аттестации.

8) Государственные награды, иные награды и знаки отличия, поощрения (кем награжден, дата представления к награде, дата оформления награды, номер удостоверения, место вручения).

9) Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).

10) Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).

11) Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен).

12) Пребывание за границей (когда, где, с какой целью).

13) Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей).

14) Адрес регистрации и фактического проживания, почтовый адрес.

15) Дата регистрации по месту жительства.

16) Паспорт гражданина Российской Федерации (серия, номер, кем и когда выдан).

17) Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан).

18) Номер телефона (служебного, рабочего, личного, домашнего).

19) Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу).

20) Идентификационный номер налогоплательщика.

21) Номер страхового свидетельства обязательного пенсионного страхования.

22) Наличие (отсутствие) судимости.

23) Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата).

24) Наличие (отсутствие) инвалидности или заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения.

25) Результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.

26) Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера членов семьи.

27) Сведения о последнем месте государственной или муниципальной службы.

28) Адреса электронной почты в сети «Интернет».

29) Основания для включения (исключения) в кадровый резерв.

30) Сведения об отпусках.

31) Семейное положение.

32) Сведения о замещаемой должности, денежном содержании и оплате труда.

33) Основной государственный регистрационный номер индивидуального предпринимателя.

34) Банковские реквизиты счетов.

35) Фотографическое изображение (в личное дело).

36) Адреса сайта и (или) страницы сайта в информационно-телекоммуникационной сети «Интернет».

7. Содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются Оператором

Цель обработки персональных данных(№ п/п согласно пункту 3.2 раздела 3 настоящей Политики)	Содержание обрабатываемых персональных данных для указанной цели (№ п/п согласно раздела 6 настоящей Политики)	Категории субъектов, персональные данные которых обрабатываются (№ п/п согласно раздела 5 настоящей Политики)
1	1, 14, 16, 18, 28	8
2	1-32, 34-36	1-7, 9
3	1	1-9
4	1,14,18,20,28,33,34	9
5	1,2,14,16,18,28	8,9

8. Источник получения персональных данных

Получение сведений о персональных данных субъектов персональных данных осуществляется на основании документов и информации, представленных ими лично, в том числе в процессе трудовых отношений, в процессе проведения кадровых конкурсов и непосредственно при личном обращении указанного субъекта.

Оператор с письменного согласия субъектов персональных данных вправе получить в соответствии с законодательством требуемые персональные данные от органов внутренних дел, органов Федеральной налоговой службы, медицинских учреждений и учреждений образования.

9. Применяемые способы обработки персональных данных

Обработка вышеуказанных персональных данных осуществляется путем смешанной обработки персональных данных: на бумажном носителе и в информационных системах Оператора. Информация, полученная в результате автоматизированной обработки персональных данных из выделенной подсети Оператора не передается, передача во внешние сети и в сеть общего пользования Интернет не производится.

Оператор в соответствии с поставленными целями осуществляет обработку персональных данных, их использование, включающие следующие основные организационные, технические, документационные действия: получение, сбор, учёт, систематизацию, накопление, хранение, уточнение (обновление, изменение), передачу, уничтожение персональных данных.

10. Меры, принимаемые для защиты персональных данных

10.1. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ и принятых в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К основным таким мерам относится применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьями 18.1, 19 Федерального закона от 27.07.2006 № 152-ФЗ.

10.2. Основными мерами защиты персональных данных, используемыми Оператором, являются:

10.2.1. Назначение лица ответственного за организацию обработки персональных данных.

10.2.2. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных.

10.2.3. Разработка политики в отношении обработки персональных данных.

10.2.4. Установление правил доступа к персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональных данных в информационных системах персональных данных.

10.2.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их служебными обязанностями.

10.2.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

10.2.7. Соблюдения условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

10.2.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятия мер.

10.2.9. Сертифицированный межсетевой экран и средство обнаружения вторжения.

10.2.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

10.2.11. Ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе, с требованиями к защите персональных данных, документами, определяющими Политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

10.2.12. Осуществление внутреннего контроля за принимаемыми мерами по обеспечению безопасности персональных данных.

11. Сроки обработки (хранения) персональных данных

Хранение персональных данных субъектов персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами Оператора: 

1) Персональные данные сотрудников Оператора используются в течение трудовой деятельности в службе, а также на протяжении установленного законодательством срока хранения личного дела в архиве (50 лет).

2) Персональные данные участников кадровых конкурсов хранятся в отделе организационной работы и бухгалтерского учета в течение определённого законодательством срока 3 года и уничтожаются в установленном порядке.

3) Персональные данные граждан, обратившихся к Оператору в установленном порядке, хранятся в делах структурных подразделений Оператора в течение определённого законодательством и номенклатурой дел Оператора сроков и уничтожаются в установленном порядке.

12. Условия передачи персональных данных

Оператор, в соответствии с законодательством, направляет установленные требуемые сведения с точно установленными, конкретными персональными данными в кредитные учреждения, в органы внутренних дел, органы Федеральной налоговой службы, в медицинские учреждения и учреждения образования, в Фонд пенсионного и социального страхования Российской Федерации.

При передаче персональных данных третьей стороне Оператором соблюдаются следующие требования:

1) Передача персональных данных сотрудников Оператора третьей стороне осуществляется на основании действующего законодательства РФ.

2) Третья сторона предупреждается о необходимости обеспечения конфиденциальности персональных данных и безопасности персональных данных при их обработке.

3) Необходимость письменного согласия субъекта персональных данных. 

Передача персональных данных законным представителям субъекта персональных данных осуществляется в порядке, установленном законодательством Российской Федерации, и ограничивается только теми данными, которые необходимы для выполнения указанными представителями их функций. 

Оператором сохраняется конфиденциальность персональных данных, за исключением общедоступных, в связи с чем в целях информационного обеспечения деятельности Оператора могут создаваться информационно-справочные материалы (справочники, списки, журналы), в которых включаются общедоступные персональные данные – ФИО, сведения о занимаемой должности, классном чине, номере служебного телефона.

Трансграничная (за границу страны) передача персональных данных у Оператора отсутствует.

13. Правила рассмотрения запросов субъектов персональных данных или их представителей Оператором

Право на получение информации, касающейся обработки своих персональных данных Оператором, имеют субъекты персональных данных, указанные в разделе 5 настоящей Политики.

Запрос субъекта персональных данных рассматривается должностным лицом службы, осуществляющим непосредственную работу с персональными данными субъекта персональных данных, от которого поступил запрос.

Сведения предоставляются субъекту персональных данных или его представителю в порядке и на условиях, предусмотренных статьями 14, 20 Федерального закона от 27.07.2006 № 152-ФЗ.

14. Условия по уточнению, блокированию и уничтожению персональных данных, а также по прекращению их обработки

14.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в настоящем пункте, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

14.2. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

14.3. Оператор в пределах своих полномочий не осуществляет обезличивания обрабатываемых персональных данных.

14.4. Персональные данные, обрабатываемые Оператором, подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в достижении этих целей, отзыва согласия субъекта на обработку его персональных данных, получения соответствующего запроса от субъекта персональных данных или получения соответствующего указания от уполномоченного органа по защите прав субъектов или при наступлении иных законных оснований.

Уничтожение персональных данных, обрабатываемых в информационных системах Оператора, осуществляется с помощью функций программного обеспечения информационных систем.

Уничтожение (стирание) данных и остаточной информации с электронных машинных носителей информации производится в случае допустимости повторного использования электронного машинного носителя информации, при необходимости передачи машинного носителя информации другому пользователю информационной системы или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения. 

Возможные меры по уничтожению (стиранию) информации на машинных носителях, исключающие возможность восстановления защищаемой информации:

1) Удаление файлов штатными средствами операционной системы и (или) форматирование машинного носителя информации штатными средствами операционной системы.

2) Перезапись уничтожаемых (стираемых) файлов случайной битовой последовательностью, удаление записи о файлах, обнуление журнала файловой системы или полная перезапись всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием.

3) Очистка всего физического пространства машинного носителя информации, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя.

4) Полная многократная перезапись машинного носителя информации специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации, затем очистка всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя.

5) Размагничивание машинного носителя информации.

Уничтожение персональных данных на бумажных носителях, содержащих персональные данные, осуществляется путем сжигания (обычно в случае большого количества бумажных носителей) или измельчения на мелкие части, исключающие возможность последующего восстановления информации, вручную или с использованием шредера (бумагорезательной машины-уничтожителя документов). 

Уничтожение электронных носителей информации может осуществляться путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных (сжигание, измельчение, плавление, расщепление, распыление и другое).

Физическое уничтожение машинных носителей персональных данных обычно осуществляется при выводе их (машинных носителей персональных данных) из эксплуатации.

Уничтожение документов или носителей с персональными данными, а также уничтожение (стирание) данных с электронных машинных носителей информации при необходимости передачи машинного носителя информации другому пользователю информационной системы или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения производится комиссионно с оформлением акта об уничтожении. Перечень должностных лиц, входящих в комиссию по уничтожению персональных данных, и форма акта об уничтожении персональных данных утверждаются приказом службы.