ПОЛИТИКА в отношении обработки  и защиты персональных данных в МУП "БТУ" г. Брянска

1. Общие положения

1.1.     Настоящий документ определяет политику МУП "Брянское троллейбусное управление" г.Брянска (далее – предприятие) в отношении обработки и защиты персональных данных в МУП "БТУ" г. Брянска (далее – политика) в соответствии с требованиями статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

1.2.     Правовую основу обработки персональных данных составляют: Конституцией РФ; Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ (ст. 85-90); Гражданским кодексом РФ, Налоговым кодексом РФ,  Федеральным законом от 21.11.1996г. № 129-ФЗ «О бухгалтерском учете»,Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральным законом от 24.07.2009 № 212-ФЗ (ред. от 02.04.2014) «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования», Федеральным законом от 01.04.1996 № 27-ФЗ (ред. от 12.03.2014) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи», Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением администрации Брянской области от 20.02.2006 № 116 «Об утверждении порядка изготовления, реализации и учёта единых социальных проездных билетов и проезда по ним», лицензией от 11.07.2014 № ЛО-32-01-000906 на  осуществление медицинской деятельности,   Уставом Предприятия,  утвержденного постановлением Брянской городской администрации от 02.05.2012г. № 967-п., Положением о защите персональных данных, утвержденного приказом от 30.12.2014г. № 464.

1.3.     Официальный сайт Предприятия – сайт в сети «Интернет», расположенный по адресу: www.trolleybus32rus.com.

1.4.     Интернет-приемная Предприятия (далее – интернет-приемная) – информационная подсистема официального сайта Предприятия, предназначенная для получения обращений граждан в форме электронного документа посредством сети «Интернет».

1.5.     Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.6.     Заявитель – гражданин Российской Федерации, иностранный гражданин или лицо без гражданства, направивший обращение в интернет-приемную.

1.7.     Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.8.     Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.9.     Конфиденциальность персональных данных – обязанность администрации и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2. Цели обработки персональных данных

2.1.     Персональные данные физических лиц (субъектов) подлежат обработке в связи с исполнением полномочий Предприятия по рассмотрению обращений граждан, поступающих из сети «Интернет» в форме электронного документа.

2.2.     Использование персональных данных граждан в целях, отличных от указанных в пункте 2.1, не допускается.

3. Принципы обработки персональных данных

3.1.     Обработка персональных данных осуществляется на законной и справедливой основе.

3.2.     Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3.     Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4.     Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5.     Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям их обработки.

3.6.     При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Предприятие принимает либо обеспечивает принятие необходимых мер по удалению, уточнению неполных или неточных данных.

3.7.     Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

4. Состав и субъекты персональных данных

4.1.     Субъектом персональных данных, обрабатываемых в интернет - приемной, является заявитель.

4.2.     В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей: фамилия, имя, отчество (последнее при наличии), почтовый адрес, адрес электронной почты, указанный в обращении контактный телефон, иные персональные данные, указанные заявителем в обращении (жалобе).

5. Обработка персональных данных

5.1.     Обращения, поступившие в интернет-приемную, извлекаются из информационной системы и фиксируются на материальном носителе в течение 3 дней. Дальнейшая обработка этих обращений происходит аналогично обработке обращений, поступивших на материальных носителях.

5.2.     После фиксации данных на материальном носителе происходит обезличивание персональных данных заявителей посредством заполнения пустыми значениями следующих полей в базе данных: имя, фамилия, отчество, почтовый адрес, адрес электронной почты, контактный телефон.

5.3.     Обезличенные данные используются для статистической обработки. Результаты этой обработки могут распространятся любым законным способом.

5.4.     Передача (распространение, предоставление, доступ) и использование персональных данных заявителей (субъектов персональных данных) осуществляется лишь в случаях и порядке, предусмотренных федеральными законами.

6. Сроки обработки и хранения персональных данных

6.1. Персональные данные граждан, обратившихся в Предприятие, хранятся в течение 5 лет. По истечении этого срока производится уничтожение персональных данных в соответствии с действующим законодательством.

7. Конфиденциальность персональных данных

7.1.     Информация, относящаяся к персональным данным, является конфиденциальной и охраняется законом.

7.2.     Предприятие принимает правовые, организационные и технические меры для защиты персональных данных заявителя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

7.3.     В должностные регламенты сотрудников допущенных к обработке персональных данных, включены обязательства о неразглашении конфиденциальной информации и ответственность за нарушение норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.

8. Рассмотрение запросов субъектов персональных данных или их представителей

8.1.     Заявитель имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Предприятием; правовые основания и цели обработки персональных данных; применяемые Предприятием цели и способы обработки персональных данных; наименование и место нахождения Предприятия, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Предприятием или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения на Предприятии; порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом в области персональных данных; наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Предприятия, если обработка поручена или будет поручена такой организации или лицу; иные сведения, предусмотренные федеральным законом в области персональных данных.

8.2.     Заявитель вправе требовать от Предприятия уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3.     Сведения, указанные в пункте 8.1, должны быть предоставлены субъекту персональных данных Предприятием в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.4.     Сведения, указанные в пункте 8.1, предоставляются субъекту персональных данных или его представителю Предприятием при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в правоотношениях с администрацией (номер обращения и дату обращения), либо сведения, иным образом подтверждающие факт обработки персональных данных в администрации, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.5.     В случае, если сведения, указанные в пункте 8.1, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно на Предприятие или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом.

8.6.     Субъект персональных данных вправе обратиться повторно на Предприятие или направить повторный запрос в целях получения сведений, указанных в пункте 8.1, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8.5, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.4, должен содержать обоснование направления повторного запроса.

8.7.     Предприятие вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 8.5, 8.6. Такой отказ должен быть мотивированным.

8.8.     Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.