Политика в отношении обработки ПДн
Приложение № 1 к приказу
РЭК Свердловской области
от 20.12.2017 № 93
Правила обработки персональных данных
в Региональной энергетической комиссии Свердловской области
I. Общие положения
1.1. Настоящие Правила обработки персональных данных в Региональной энергетической комиссии Свердловской области (далее - Правила), устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, меры по обеспечению безопасности персональных данных при их обработке в Региональной энергетической комиссии Свердловской области (далее – РЭК Свердловской области).
Настоящие Правила определяют политику РЭК Свердловской области как оператора, осуществляющего обработку персональных данных.
Настоящие Правила разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Указа Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Постановление Правительства Российской Федерации от 01.11.2012 № 1119).
Правовой основой настоящих Правил также являются Трудовой кодекс Российской Федерации, Кодекс Российской Федерации об административных правонарушениях, Федеральный закон от 27 мая 2003 года № 58-ФЗ «О системе государственной службы Российской Федерации», Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27 июля 2004 года № 79-ФЗ
«О государственной гражданской службе Российской Федерации», Федеральный закон от 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции», Федеральный закон от 02 мая 2006 года № 59‑ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
1.2. Действие настоящих Правил не распространяется на отношения, возникающие при:
- работе по комплектованию, хранению, учету и использованию архивных документов, образовавшихся в процессе деятельности РЭК Свердловской области, осуществляемой в соответствии с законодательством Российской Федерации;
- обработке персональных данных, отнесенных в порядке, установленном Законом Российской Федерации от 21 июля 1993 года № 5485-1
«О государственной тайне», к сведениям, составляющим государственную тайну.
1.3. Обеспечение безопасности персональных данных входит в задачи структурных подразделений (специалистов) по обеспечению информационной безопасности РЭК Свердловской области.
II. Условия обработки персональных данных
2.1. Настоящими Правилами определяется следующие цели обработки персональных данных, относительно субъектов персональных данных.
2.1.1. Персональные данные государственных гражданских служащих
РЭК Свердловской области и иных лиц, состоящих с РЭК Свердловской области в трудовых отношениях, граждан, претендующих на замещение должностей государственной гражданской службы РЭК Свердловской области или должностей, не являющихся должностями государственной гражданской службы РЭК Свердловской области, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия сотрудникам РЭК Свердловской области в прохождении службы (выполнении работы), обучении и должностном росте, формирования кадрового резерва, учета результатов исполнения сотрудниками РЭК Свердловской области должностных обязанностей, обеспечения сотруднику РЭК Свердловской области установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего ему имущества и имущества РЭК Свердловской области, а также в целях противодействия коррупции.
2.1.2. Персональные данные государственных гражданских служащих
РЭК Свердловской области и иных лиц, состоящих с РЭК Свердловской области в трудовых отношениях, обрабатываются в целях обеспечения бухгалтерского и налогового учета.
2.1.3. Персональные данные участников производства по делам об административных правонарушениях, осуществляемых РЭК Свердловской области, обрабатываются в целях контроля за соблюдением законодательства Российской Федерации и законодательства Свердловской области по ценообразованию и применению регулируемых цен (тарифов, расценок, наценок, надбавок, индексов, ставок, сборов, размеров платы) на территории Свердловской области.
2.1.4. Персональные данные физических лиц, обратившихся в
РЭК Свердловской области в письменной форме или в форме электронного документа, а также с устным обращением, обрабатываются в целях их рассмотрения и последующего уведомления о результатах рассмотрения.
2.2. Согласие субъекта персональных данных на обработку персональных данных для целей обработки персональных данных.
2.2.1. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях, указанных в пункте 2.1.1, 2.1.2 настоящих Правил, не требуется при обработке персональных данных в соответствующих целях на основании Федерального закона от 27 июля 2004 года № 79‑ФЗ «О государственной гражданской службе Российской Федерации» и Федерального закона от 27 мая 2003 года № 58-ФЗ «О системе государственной службы Российской Федерации», в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных», кроме случаев, предусмотренных пунктом 2.2.3 настоящих Правил.
2.2.2. Согласие на обработку персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пунктах 2.1.3, 2.1.4 настоящих Правил, не требуется при обработке персональных данных в случаях их обработки в соответствии с положениями законодательства об административных правонарушениях, законодательства об обращениях граждан, согласно пункту 2 части 1 статьи 6 Федерального закона «О персональных данных», кроме случаев, предусмотренных пунктом 2.2.3 настоящих Правил.
2.2.3. Необходимо получить согласие субъекта персональных данных на обработку его персональных данных:
- при передаче персональных данных третьей стороне (за исключением случаев, предусмотренных федеральными законами);
- при распространении (в том числе при размещении на официальном сайте РЭК Свердловской области) персональных данных;
- при принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.
2.2.4. Согласие на обработку персональных данных субъекта необходимо получать непосредственно у субъекта персональных данных в форме, позволяющей подтвердить факт его получения, если иное не установлено федеральными законами.
2.2.5. Организация сбора и хранения письменных согласий на обработку персональных данных субъектов персональных данных возлагается на структурные подразделения РЭК Свердловской области, непосредственно осуществляющие обработку персональных данных.
III. Действия (операции), совершаемые с персональными данными
3.1. РЭК Свердловской области осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
3.1.1. Сбор, запись, систематизация, накопление и уточнение персональных данных, обрабатываемых в случаях, предусмотренных пунктами 2.1.1, 2.1.2 настоящих Правил, осуществляется путем:
- получения оригиналов необходимых документов (трудовая книжка, анкета, иные документы, предоставляемые в РЭК Свердловской области);
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- создания персональных данных в ходе кадровой работы, бухгалтерского и налогового учета;
- внесения сведений в информационные системы персональных данных.
3.1.2. Сбор, запись, систематизация, накопление и уточнение персональных данных, обрабатываемых в случаях, предусмотренных пунктом 2.1.3 настоящих Правил, осуществляется путем:
- получения необходимой информации непосредственно от субъектов персональных данных;
- внесения сведений в учетные формы (на бумажных и электронных носителях;
- внесения сведений в информационные системы персональных данных.
3.1.3. Сбор, запись, систематизация, накопление и уточнение персональных данных, обрабатываемых в целях, указанных в пункте 2.1.4 настоящих Правил, осуществляется путем:
- получения обращений в письменной форме или в форме электронного документа, а также устных обращений;
- регистрации персональных данных на бумажных и электронных носителях информации;
- внесения сведений в информационные системы персональных данных.
3.2. При сборе персональных данных в случаях, предусмотренных пунктом 2.1.1 настоящих Правил, сотрудник РЭК Свердловской области, осуществляющий получение персональных данных непосредственно от субъекта персональных данных, в случае отказа субъекта персональных данных предоставить его персональные данные, обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
3.3. В соответствии с частью 4 статьи 18 Федерального закона «О персональных данных» Региональная энергетическая комиссия Свердловской области освобождается от обязанностей, предусмотренных частью 3 статьи 18 Федерального закона «О персональных данных», при сборе персональных данных в случаях, предусмотренных 2.1.1, 2.1.2, 2.1.3, 2.1.4 настоящих Правил.
3.4. Предоставление и распространение персональных данных осуществляется в соответствии с федеральными законами, на основании которых они обрабатываются, в порядке, предусмотренном главой 8 настоящих Правил.
3.5. Использование персональных данных осуществляется в соответствии с федеральными законами, на основании которых они обрабатываются.
Возможность использовать персональные данные имеют исключительно сотрудники, допущенные к персональным данным в порядке, предусмотренном главой 7 настоящих Правил.
3.6. В зависимости от конкретной цели обработки персональных данных, обрабатываемых в случаях, предусмотренных пунктами 2.1.1, 2.1.2, 2.1.3, 2.1.4 настоящих Правил, РЭК Свердловской области также могут совершаться иные действия, предусмотренные федеральными законами, на основании которых они обрабатываются.
IV. Трансграничная передача персональных данных, обрабатываемых в РЭК Свердловской области
4. Трансграничная передача персональных данных, обрабатываемых в РЭК Свердловской области не осуществляется.
V. Лица, ответственные за организацию обработки персональных данных
5.1. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от Председателя РЭК Свердловской области.
5.2. Лицо, ответственное за организацию обработки персональных данных, входит в состав или иным установленным образом участвует в деятельности постоянно действующей технической комиссии по защите информации ограниченного распространения (далее - ПДТК) РЭК Свердловской области в рамках своей компетенции.
VI. Организация хранения персональных данных
6.1. Персональные данные хранятся на бумажном носителе в структурных подразделениях РЭК Свердловской области, в функции которых входит обработка персональных данных в соответствии с положениями об этих подразделениях.
Персональные данные хранятся в электронном виде в государственных информационных системах и иных информационных системах персональных данных, в т.ч. в информационных системах персональных данных
РЭК Свердловской области.
6.2. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
6.3. Срок хранения персональных данных в электронном виде должен соответствовать сроку хранения бумажных носителей.
6.4. При хранении персональных данных на электронных носителях сотрудником РЭК Свердловской области – специалистом по обеспечению информационной безопасности РЭК Свердловской области, обеспечивается регулярное резервное копирование информации с целью недопущения потери персональных данных при выходе из строя носителей персональных данных.
6.5. Обеспечивается раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами, без использования средств вычислительной техники (без использования средств автоматизации).
6.6. Специалистом по обеспечению информационной безопасности
РЭК Свердловской области осуществляется контроль за хранением и использованием носителей персональных данных, не допускающий несанкционированного использования, уточнения, распространения и уничтожения персональных данных, находящихся на этих носителях.
6.7. Уточнение (изменение, дополнение) персональных данных при осуществлении их обработки без использования средств вычислительной техники (без использования средств автоматизации) может производиться путем обновления (в том числе частичного) или изменения данных на материальном носителе. Если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений об изменениях, вносимых в персональные данные, либо путем изготовления нового материального носителя с уточненными персональными данными.
6.8. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.9. Отчуждаемые (съемные) носители электронной информации (дискеты, диски, съемные накопители), содержащие персональные данные, подлежат учету и регистрации в журнале учета носителей информации, на которых обрабатываются персональные данные, который ведется специалистом по обеспечению информационной безопасности РЭК Свердловской области.
6.10. Вынос отчуждаемых носителей, содержащих персональные данные, за пределы контролируемой зоны допускается исключительно по служебной необходимости с разрешения лица, ответственного за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных.
6.11. Вывод на печать документов, содержащих персональные данные, допускается в связи с исполнением служебных обязанностей, в том числе в целях передачи печатных копий субъектам персональных данных либо лицам, допущенным в соответствии с пунктом 7.1 настоящих Правил к работе с персональными данными.
VII. Допуск сотрудников РЭК Свердловской области к работе с персональными данными
7.1. К работе с персональными данными допускаются сотрудники РЭК Свердловской области, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, а также сотрудники, реализующие права субъектов персональных данных в соответствии со статьей 14 Федерального закона «О персональных данных».
7.2. При реализации сотрудником РЭК Свердловской области прав субъекта персональных данных его персональные данные должны предоставляться ему таким образом, чтобы не нарушалась конфиденциальность персональных данных других субъектов персональных данных.
7.3. Требования по соблюдению конфиденциальности персональных данных являются обязательными при допуске сотрудника РЭК Свердловской области к работе с персональными данными. Сотрудник, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
Сотрудник, допущенный к обработке персональных данных, принимает на себя обязательства в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей. Обязательство в письменной форме приобщается к личному делу сотрудника.
7.4. При осуществлении доступа к персональным данным, обрабатываемым в государственных информационных системах, иных информационных системах персональных данных, в т.ч. информационных системах персональных данных РЭК Свердловской области, применяется система разграничения прав доступа. Система разграничения прав доступа разрабатывается специалистом по обеспечению информационной безопасности РЭК Свердловской области и согласовываются с лицом, ответственным за организацию обработки персональных данных РЭК Свердловской области.
7.5. При осуществлении доступа к персональным данным, обрабатываемым в государственных информационных системах, иных информационных системах персональных данных, в т.ч. информационных системах персональных данных РЭК Свердловской области, должна применяться система регистрации и учета всех действий, совершаемых с персональными данными. Работы по администрированию такой системы и анализ регистрационной информации возлагается на специалиста по обеспечению информационной безопасности
РЭК Свердловской области.
7.6. Об инцидентах, связанных с попытками нарушения правил разграничения доступа и несанкционированным доступом, докладывается лицу, ответственному за организацию обработки персональных данных в
РЭК Свердловской области. Срок хранения регистрационной информации должен составлять не менее 30 дней.
VIII. Порядок предоставления персональных данных
8.1. Не допускается предоставление баз, банков данных, списков, содержащих персональные данные, государственному органу, его территориальному органу, органу местного самоуправления или организации, подведомственной государственному органу, органу местного самоуправления, а также физическому или юридическому лицу, за исключением случаев, предусмотренных федеральными законами.
8.2. Региональная энергетическая комиссия Свердловской области может поручать защиту персональных данных организации на основании договора, в котором указываются порядок предоставления персональных данных, обязательства сторон по соблюдению конфиденциальности и ограничения на использование персональных данных, а также требования к защите обрабатываемых персональных данных. При этом условием поручения защиты является наличие у организации лицензии на осуществление деятельности по технической защите конфиденциальной информации.
8.3. РЭК Свердловской области передает персональные данные субъекта персональных данных государственному органу, его территориальному органу, органу местного самоуправления или организации, подведомственной государственному органу, органу местного самоуправления, а также физическому или юридическому лицу на основании запроса о предоставлении персональных данных (далее - запрос).
8.4. Запрос должен быть подписан уполномоченным должностным лицом, содержать указание цели и правовые основания для затребования персональных данных и срок предоставления этой информации, если иное не установлено федеральными законами.
8.5. Запрос физического лица о предоставлении его персональных данных, в соответствии со статьей 14 Федерального закона «О персональных данных», должен содержать реквизиты документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с РЭК Свердловской области, либо сведения, иным образом подтверждающие факт обработки персональных данных РЭК Свердловской области, подпись субъекта персональных данных или его представителя.
8.6. Запрос подлежит рассмотрению РЭК Свердловской области, если в нем указывается положение федерального закона, устанавливающее право обратившегося государственного органа, его территориального органа, органа местного самоуправления или организации, подведомственной государственному органу, органу местного самоуправления, а также физического или юридического лица на получение запрашиваемых персональных данных или в случае заключения договора (соглашения) об информационном взаимодействии с
РЭК Свердловской области.
8.7. Обоснованием (мотивом) запроса является конкретная цель, связанная с реализацией гражданином своих прав или исполнением определенных федеральным законом обязанностей, для достижения которых ему необходимо использовать запрашиваемые персональные данные. Запросы, по форме и содержанию не отвечающие требованиям пункта 8.6 настоящих Правил, рассмотрению не подлежат.
8.8. Предоставление гражданам информации, содержащей персональные данные, посредством информационно-телекоммуникационной сети в электронном виде в форме электронного документа, подписанного электронной подписью, осуществляется в соответствии с Федеральным законом от 27 июля 2010 года
№ 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
IX. Требования к защите персональных данных при их обработке без использования средств
вычислительной техники
9.1. Обработка персональных данных без использования средств вычислительной техники (без использования средств автоматизации) осуществляется в РЭК Свердловской области в соответствии с Инструкцией по делопроизводству в Региональной энергетической комиссии Свердловской области.
9.2. Печатная копия документа, созданная в целях передачи определенному субъекту персональных данных, не должна содержать персональные данные других субъектов персональных данных, за исключением случаев, определенных действующим законодательством.
9.3. Запрещается использовать печатные копии документов, содержащих персональные данные, для повторной печати (в качестве черновиков).
9.4. Типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, утверждаются РЭК Свердловской области с соблюдением условий, предусмотренных пунктом 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.08 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
X. Требования к защите персональных данных при их обработке
в информационных системах персональных данных
10.1. Безопасность персональных данных при их обработке в государственных информационных системах, иных системах персональных данных, в т.ч. информационных системах персональных данных РЭК Свердловской области, обеспечивается при помощи системы защиты персональных данных, нейтрализующей актуальные угрозы безопасности персональных данных.
10.2. Меры по обеспечению безопасности персональных данных должны обеспечить надлежащий уровень безопасности с учетом соразмерности затрат на их реализацию и опасности угроз, обусловленных природой защищаемых данных и условиями их обработки.
10.3. В целях определения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении функций, возложенных на РЭК Свердловской области, РЭК области ведет и поддерживает в актуальном состоянии техническую документацию на информационные системы персональных данных.
10.4. РЭК Свердловской области в соответствии с постановлением Правительства Российской Федерации от 01.11.12 № 1119 принимает организационные меры, необходимые для определения уровня защищенности персональных данных для информационных систем персональных данных РЭК Свердловской области, и выполнения требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
10.5. Выбор организационных и технических мер по защите персональных данных в информационных системах персональных данных РЭК Свердловской области осуществляется специалистом по обеспечению информационной безопасности РЭК Свердловской области в соответствии с приказом ФСБ России от 10.07.14 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» и приказом Федеральной службы по техническому и экспортному контролю от 11.02.13 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
10.6. Средства защиты информации, применяемые для реализации выбранных методов и способов защиты информации, в порядке, установленном законодательством о техническом регулировании, проходят процедуру оценки соответствия.
10.7. При обработке персональных данных в информационных системах персональных данных должна проводиться оценка эффективности принимаемых мер по обеспечению безопасности персональных данных или аттестация информационной системы персональных данных на соответствие требованиям безопасности персональных данных, а также выполняться контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
10.8. До ввода в промышленную эксплуатацию информационной системы персональных данных лицом, ответственным за организацию обработки персональных данных в информационных системах персональных данных
РЭК Свердловской области, организуются мероприятия по оценке эффективности и дается заключение об эффективности принимаемых мер по обеспечению безопасности персональных данных или организуется аттестации информационной системы персональных данных на соответствие требованиям безопасности персональных данных. В дальнейшем оценка эффективности проводится в рамках внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
10.9. Специалист по обеспечению информационной безопасности РЭК Свердловской области организует и контролирует ведение учета материальных носителей персональных данных. Учет материальных носителей ведется по каждой информационной системе отдельно.
10.10. Специалист по обеспечению информационной безопасности РЭК Свердловской области осуществляет выявление и фиксацию фактов несанкционированного доступа к персональным данным, а также принятие мер по проверке и расследованию нарушений (инцидентов) информационной безопасности, в том числе с использованием программных, программно-аппаратных и технических средств.
10.11. Специалист по обеспечению информационной безопасности РЭК Свердловской области, обеспечивает восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
XI. Заключительные положения
11.1. При создании новых баз данных, реестров, таблиц, анкет, книг, журналов, предусматривающих занесение в них персональных данных, их использование согласовывается с лицом, ответственным за организацию обработки персональных данных в РЭК Свердловской области.
11.2. При внедрении новых информационных систем персональных данных, изменении объема (содержания), порядка и целей обработки персональных данных лицо, ответственное за организацию обработки персональных данных в РЭК Свердловской области, инициирует внесение изменений в уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных в РЭК Свердловской области.
11.3. Специалист по обеспечению информационной безопасности РЭК Свердловской области осуществляет контроль за соблюдением системы прав разграничения доступа к персональным данным и требований по обеспечению конфиденциальности персональных данных в рамках своих полномочий.
11.4. Сотрудники РЭК Свердловской области, допущенные в установленном порядке к обработке персональных данных, несут персональную ответственность за нарушение требований по обработке персональных данных в соответствии со статьей 24 Федерального закона «О персональных данных».
11.5. Методическое руководство осуществлением мер по защите персональных данных возлагается на специалиста по обеспечению информационной безопасности РЭК Свердловской области.
11.6. Ежегодный контроль за выполнением предусмотренных мер защиты персональных данных возлагается на лицо, ответственное за организацию обработки персональных данных в РЭК Свердловской области.
Политика Министерства цифрового развития и связи Свердловской области в отношении обработки персональных данных в государственной информационной системе «Единая интернет-платформа шаблонов типовых сайтов органов государственной власти Свердловской области и сайта Правительства Свердловской области»
1. Общие положения
1.1. Настоящая Политика Министерства цифрового развития и связи Свердловской области в отношении обработки персональных данных в государственной информационной системе «Единая интернет-платформа шаблонов типовых сайтов органов государственной власти Свердловской области и сайта Правительства Свердловской области» (далее – Политика) описывает, как Министерство цифрового развития и связи Свердловской области (далее Минцифры Свердловской области, Оператор): 620014, г. Екатеринбург, ул. Московская, д. 11, ОГРН 1176658101036, ИНН 6658507947, являющееся оператором государственной информационной системы «Единая интернет-платформа шаблонов типовых сайтов органов государственной власти Свердловской области и сайта Правительства Свердловской области» (далее – Платформа сайтов) в соответствии с приказом Минцифры Свердловской области от 14.02.2025 № 44 «Об утверждении Положения о государственной информационной системе «Единая интернет-платформа шаблонов типовых сайтов органов государственной власти Свердловской области и сайта Правительства Свердловской области», обрабатывает персональные данные, сбор которых осуществляется с использованием Платформы сайтов на официальных сайтах, размещенных в информационно-телекоммуникационной сети «Интернет» в зоне домена третьего уровня *.midural.ru (далее Официальные сайты), в целях, определенных в настоящей Политике.
1.2. Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.3. Термины и определения, применяемые в настоящей Политике, соответствуют приведенным в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также в приказе Минцифры Свердловской области от 14.02.2025 № 44 «Об утверждении Положения о государственной информационной системе «Единая интернет-платформа шаблонов типовых сайтов органов государственной власти Свердловской области и сайта Правительства Свердловской области».
1.4. В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» субъекты, сбор персональных данных которых осуществляется с использованием Платформы сайтов, имеют право:
- на доступ к персональным данным;
- на уточнение персональных данных;
- на блокирование и уничтожение персональных данных;
- на обжалование действий или бездействия Оператора;
- на обжалование решений, принятых на основании исключительно автоматизированной обработки персональных данных;
- на отзыв согласия на обработку персональных данных.
1.5. Настоящая Политика применяется только для Официальных сайтов, и не относится к сайтам, на которые можно перейти по ссылкам, размещенным на Официальных сайтах.
2. Цели обработки персональных данных
Целями обработки персональных данных, сбор которых осуществляется с использованием Платформы сайтов на Официальных сайтах, являются:
2.1. Прохождение тестирования;
2.2. Направление обращения;
2.3. Просмотр документа, опубликованного для экспертизы;
2.4. Прохождение опроса;
2.5. Запись на личный прием;
2.6. Оставление обратной связи;
2.7. Улучшение взаимодействия пользователей Официального сайта (далее Пользователь) с Официальным сайтом;
2.8. Проведение аналитики использования Пользователями Официального сайта с использованием метрической программы Яндекс.Метрика.
3. Правовое основание обработки персональных данных
Правовыми основаниями обработки персональных данных, сбор которых осуществляется с использованием Платформы сайтов на Официальных сайтах, являются:
- приказ Минцифры Свердловской области от 14.02.2025 № 44 «Об утверждении Положения о государственной информационной системе «Единая интернет-платформа шаблонов типовых сайтов органов государственной власти Свердловской области и сайта Правительства Свердловской области;
- согласие субъекта на обработку его персональных данных, выраженное в авторизации через Единую систему идентификации и аутентификации в целях, указанных в пунктах 2.1. 2.6. настоящей Политики;
- согласие субъекта на использование cookie-файлов и метрической программы Яндекс.Метрика при посещении Официального сайта в целях, указанных в пунктах 2.7. 2.8. настоящей Политики.
4. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных
4.1. Для всех целей обработки персональных данных, указанных в разделе 2 настоящей Политики, субъектами являются пользователи Официального сайта.
4.2. Персональные данные, обрабатываемые в целях, указанных в пунктах 2.1. 2.6. раздела 2 настоящей Политики, не относятся к специальной категории персональных данных, к биометрическим персональным данным, к общедоступным персональным данным, а именно обработке подлежат:
- фамилия, имя, отчество (при наличии);
- адрес электронной почты.
4.3. Персональные данные, обрабатываемые с целью, указанной в пункте 2.7. раздела 2 настоящей Политики, не относятся к специальной категории персональных данных, к биометрическим персональным данным, к общедоступным персональным данным, а именно обработке подлежат:
| Наименование | Провайдер | Срок хранения | Описание |
| PHPSESSID | Платформа сайтов | До завершения сеанса браузера | Идентификатор пользовательской сессии |
| BITRIX_SM_SOUND_LOGIN_PLAYED | Платформа сайтов | До завершения сеанса браузера | Признак для включения специального звукового сигнала логина |
| BITRIX_SM_NCC | Платформа сайтов | 1 год | Признак выключения композитного кэша для авторизованных пользователей |
| BITRIX_SM_LOGIN | Платформа сайтов | 1 год | Логин пользователя |
| BX_USER_ID | Платформа сайтов | 1 год |
Хранит информацию об уникальном идентификаторе неавторизированного пользователя сайта |
| bx_user_id | Платформа сайтов | 1 год | Используется для bitrixаналитики |
4.4. Персональные данные, обрабатываемые с целью, указанной в пункте 2.8. раздела 2 настоящей Политики, не относятся к специальной категории персональных данных, к биометрическим персональным данным, к общедоступным персональным данным, а именно обработке подлежат:
| Наименование | Провайдер | Срок хранения | Описание |
| USER_ACCEPT_YANDEX_METRIC | yandex.ru | 1 год | Хранит информацию о согласии c использованием Яндекс.Метрики |
| _ym_d | yandex.ru | 1 год |
Хранит дату первого визита посетителя на сайт (Яндекс.Метрика) |
| _ym_isad | yandex.ru | 1 год |
Используется для определения наличия у посетителя блокировщиков рекламы (Яндекс.Метрика) |
| _ym_uid | yandex.ru | 1 год |
Позволяет различать посетителей (Яндекс.Метрика) |
5. Принципы и условия обработки персональных данных
5.1. Принципы обработки персональных данных
Обработка персональных данных осуществляется на законной и справедливой основе.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
При сборе персональных данных Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27 июля 2006 г. №152-ФЗ О персональных данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2. Условия обработки персональных данных
5.2.1. Обработка персональных данных в целях, указанных в пунктах 2.1. - 2.6. раздела 2 настоящей Политики, осуществляется с согласия Пользователя, выраженного в авторизации на Официальном сайте через Единую систему идентификации и аутентификации.
5.2.2. Обработка персональных данных в целях, указанных в пунктах 2.7., 2.8. раздела 2 настоящей Политики, осуществляется при условии продолжения пользования Официальным сайтом.
При первом посещении Официального сайта Пользователь будет проинформирован об использовании cookie-файлов и метрической программы Яндекс.Метрика.
В случае отказа от обработки cookie-файлов Пользователю необходимо прекратить использование Официального сайта или отключить использование cookie-файлов в настройках браузера, при этом некоторые функции Официального сайта могут стать недоступны.
6. Способы обработки персональных данных
Обработка персональных данных в целях, указанных в пунктах 2.1. - 2.8. раздела 2 настоящей Политики, осуществляется с использованием средств автоматизации.
7. Сроки обработки персональных данных
7.1. Обработка персональных данных в целях, указанных в пунктах 2.1. - 2.8. раздела 2 настоящей Политики, осуществляется:
-до достижения целей обработки или до утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- до отзыва согласия на обработку субъектом персональных данных или его представителем (согласие может быть отозвано путем составления и подачи соответствующего письменного документа в адрес Минцифры Свердловской области по адресу: 620014, г. Екатеринбург, ул. Московская, д. 11);
- до выявления неправомерной обработки данных.
7.2. Обработка персональных данных в целях, указанных в пунктах 2.7., 2.8. раздела 2 настоящей Политики, может осуществляться до момента их удаления Пользователем, если такое удаление произойдет раньше событий, указанных в пункте 7.1 раздела 7 настоящей Политики.
8. Сроки хранения персональных данных
8.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.
8.2. Хранение персональных данных в целях, указанных в пунктах 2.7., 2.8. раздела 2 настоящей Политики, осуществляется в течение сроков, указанных в пунктах 4.3., 4.4. раздела 4 настоящей Политики соответственно.
9. Порядок уничтожения персональных данных
9.1. Уничтожение персональных данных, обрабатываемых в целях, указанных в пунктах 2.1. - 2.6. раздела 2 настоящей Политики, осуществляется встроенными средствами Платформы сайтов.
9.2. Уничтожение персональных данных, обрабатываемых в целях, указанных в пунктах 2.7., 2.8. раздела 2 настоящей Политики, осуществляется по достижении сроков хранения, указанных в пунктах 4.3. 4.4. раздела 4 настоящей Политики соответственно.
10. Условия передачи персональных данных
В целях, указанных в пунктах 2.1. - 2.6. раздела 2 настоящей Политики, Оператор передает персональные данные Пользователя пользователю Единой платформы сайтов, Официальным сайтом которого намеревается воспользоваться Пользователь, авторизуясь через Единую систему идентификации и аутентификации.
11. Осуществление трансграничной передачи персональных данных
Трансграничная передача персональных данных субъектов персональных данных в связи с обработкой их с использованием Платформы сайтов не осуществляется.
12. Реализация мер обеспечения безопасности персональных данных
Оператор при обработке персональных данных с использованием Платформы сайтов принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
13. Рассмотрение запросов субъектов персональных данных или их представителей
Рассмотрение запросов субъектов персональных данных или их представителей осуществляется Минцифры Свердловской области в соответствиями с требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
14. Изменение Политики обработки персональных данных
Оператор оставляет за собой право вносить изменения в настоящую Политику.
Оператор обязан опубликовать Политику с внесенными изменениями на страницах Официального сайта, с использованием которых осуществляется сбор персональных данных.