Политика в отношении обработки персональных данных

 

1. Общие положения

1.1. Настоящая Политика в отношении Обработки Персональных данных (далее – «Политика») определяет политику Сетевого издания «Аткарская газета. Интернет-версия» (далее – Учреждение) в отношении обработки и обеспечения безопасности персональных данных.

1.2. Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных.

1.3. Настоящая Политика раскрывает основные принципы и правила, используемые Учреждением при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, персональные данные которых обрабатываются Учреждением, а также содержит сведения об исполнении Учреждением обязанностей в соответствии с требованиями действующего законодательства РФ и сведения о реализуемых Учреждением требований к защите персональных данных.

1.4. Действие Политики распространяется на все процессы Учреждения, связанные с обработкой персональных данных.

1.5. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных.

Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.

1.7. Текущая редакция Политики размещается на сайте Учреждении в общем доступе и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики.

2. Перечень нормативных документов

2.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных актов:

— Конституции Российской Федерации;

— Федерального закона от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

— Трудового кодекса Российской Федерации;

— Закона РФ от 27.12.1991 № 2124-1 «О средствах массовой информации»;

— Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);

-Федеральный закон гот 27.07.2006 г. № 149 – ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федеральный закон орт 25.12. 2008 г. № 273-ФЗ «О противодействии коррупции»;

— Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Постановления Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

— Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Приказа Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

— Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

3. Термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Блокирование – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Обезличивание – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных/обработка – любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Ответственный за организацию обработки персональных данных – должностное лицо, которое назначается приказом директора Учреждении, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по Учреждении обработки персональных данных в Учреждении в соответствии с положениями законодательства Российской Федерации в области персональных данных;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое на основании относящихся к нему персональных данных;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе

персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

4. Категории субъектов персональных данных, персональные данные которых обрабатываются. Цели обработки персональных данных

4.1. Учреждением осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих:

— работникам Учреждения, состоящим в трудовых отношениях с Учреждением;

— физическим лицам, являющимся контрагентами или представителями, работниками контрагентов;

— физическим лицам, являющимся пользователями Интернет-сайтов Учреждения;

— физическим лицам, предоставившим информацию Учреждению на основании Закона РФ от 27.12.1991 № 2124-1 «О средствах массовой информации»;

— физическим лицам, в отношении которых персональные данные являются общедоступными, подлежат обязательному раскрытию или опубликованию, подлежат внесению в общедоступные государственные реестры или информационные системы;

— иным лицам, давшим свое согласие на обработку персональных данных либо право на обработку персональных данных которых возникло на основании действующего законодательства РФ.

4.2. Целями обработки персональных данных являются:

— осуществление профессиональной деятельности журналистов;

— осуществление законной деятельности средства массовой информации;

— исполнение обязанностей, возложенных на Учреждение как оператора персональных данных действующим законодательством;

— осуществление прав и законных интересов Учреждения и третьих лиц, в том числе по исполнению требований действующего законодательства РФ, обеспечение безопасности деятельности;

— достижения общественно значимых целей создания эффективных инструментов для выполнения требований законодательства, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

— осуществление прав и обязанностей работодателя, обучение работников Учреждения, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Учреждения, обеспечение пользования работниками установленных законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;

— заключение и исполнение обязательств по договорам гражданско-правового характера, трудовым договорам, государственным контрактам;

— осуществление обратной связи с пользователями Интернет-сайтов Учреждения, в том числе для получения от пользователей мнений, вопросов по информации сайтов, а также для направления им ответов;

— осуществление рекламно-информационных рассылок;

— показ таргетированной рекламы пользователям сайта.

4.3. Источниками получения персональных данных, обрабатываемых Учреждением, являются:

— непосредственно субъекты персональных данных;

— средства массовой информации;

— файлы cookie;

— лица, являющиеся в соответствии с Законом РФ от 27.12.1991 № 2124-1 «О средствах массовой информации» источниками;

— контрагенты Учреждения;

— Федеральная налоговая служба РФ, иные государственные органы и уполномоченные организации в случаях, предусмотренных действующим законодательством РФ;

— иные лица, при условии предоставления Учреждению подтверждения наличия оснований, указанных в пунктах 2-11 части 1 ст.6 , части 2 ст.10 и части 2 ст.11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5. Принципы обработки персональных данных

5.1. Обработка персональных данных осуществляется на основе следующих принципов:

— обработка персональных данных осуществляется на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;

— обработке подлежат только те персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

— при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. В отношении персональных данных Учреждение осуществляет действия (операции) или совокупность операций, совершаемые как с использование средств автоматизации, так и без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.3. Оператор использует смешанный (с использование средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по информационно-телекоммуникационной сети «Интернет».

5.4. Сроки обработки персональных данных определяются в соответствии со сроком, указанным в согласии субъекта персональных данных, а также в соответствии с иными требованиями законодательства РФ.

5.5. Учреждение прекращает обработку персональных данных в следующих случаях:

— достижение цели обработки персональных данных;

— изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

— выявление неправомерной обработки персональных данных, осуществляемой Учреждением;

— отзыв субъектом персональных данных согласия на обработку персональных данных, если в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» обработка этих персональных данных допускается только с согласия субъекта персональных данных.

5.6. Обработку персональных данных физических лиц, являющихся пользователями Интернет-сайтов Учреждения, Учреждение осуществляет исключительно в объеме данных, представленных самим субъектом персональных данных в рамках формы обратной связи, содержащей условие подтверждения субъектом своего согласия не такую обработку.

5.7. Учреждение раскрывает обрабатываемые персональные данные только на основаниях и в случаях, предусмотренных законодательством РФ, в том числе в связи с выпуском и распространением продукции средства массовой информации.

5.8. Данные посещаемости Интернет-сайтов Учреждения получает в обезличенной форме и использует в статистических целях для анализа пользовательского интереса к материалам сайта, а также для таргетирования рекламы; указанные данные могут быть переданы для этих целей третьим лицам.

6. Случаи обработки персональных данных

6.1. Обработка персональных данных допускается в следующих случаях:

— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

— обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

— обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);

— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

7. Меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ

7.1. Учреждения осуществляет следующие правовые, организационные, технические, физические, криптографические меры для защиты персональных данных:

— назначение Учреждением лица, ответственного за Учреждению обработки персональных данных;

— издание документов, определяющих политику Учреждении в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а

также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст.19 Федерального закона от 27.06.2006г. №152-ФЗ «О персональных данных», включая: определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения;

— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Учреждении, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

— применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных Учреждения;

— учет машинных носителей персональных данных;

— обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;

— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Учреждения, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Учреждения в случаях, когда это требуется в соответствии с действующим законодательством;

— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных Учреждения;

— ознакомление работников Учреждения и лиц, допущенных приказом директора к обработке персональных данных, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Учреждении в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных лиц; осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Учреждении в отношении обработки персональных данных.

8. Право субъекта персональных данных на доступ к его персональным данным

8.1. Субъект персональных данных имеет право на доступ к сведениям, указанным в части 7 статьи 14 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных».

8.2. Субъект персональных данных вправе требовать от Учреждении уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. Сведения, указанные в ч. 7 ст.14 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю Учреждения при получении запроса субъекта персональных данных или его представителя в письменной форме.

8.4. Сведения, указанные в ч.7 ст.14 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных», предоставляются Учреждением субъекту персональных данных в доступной форме.

8.5. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в соответствии со статьей 9 Федерального от 27.07.2006г. №152-ФЗ «О персональных данных» в случаях, когда Учреждение производит обработку персональных данных на основании согласия субъекта персональных данных.

8.6. Запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта к своим персональным данным обрабатываются Учреждением в течение 30 календарных дней, если более короткий срок не установлен законодательством РФ.

Запросы могут быть направлены/переданы лично, по почте, электронной почте, а также представлены через курьерские организации или нарочным. Запрос должен позволять установить лицо, его направляющее, а также может содержать контактные данные для направления ответа.

8.7. Для реализации своих прав и защиты законных интересов, субъект персональных данных имеет право обратиться к Учреждению, которое рассматривает обращения и жалобы, дает соответствующие ответы на них, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Аткарская газета