Центр Мой бизнес Санкт-Петербург

Политика в отношении обработки персональных данных

Общие положения

  • Политика Санкт-Петербургского государственного бюджетного учреждения «Центр развития и поддержки предпринимательства» (далее – СПб ГБУ «ЦРПП», Оператор) в отношении обработки персональных данных (далее — Политика) определяет правовые основания обработки персональных данных, цели обработки персональных данных, содержание и объем обрабатываемых персональных данных, порядок и условия обработки персональных данных, право субъекта персональных данных на доступ к его персональным данным, уточнение и уничтожение персональных данных, меры защиты при хранении персональных данных, способы хранения персональных данных, сроки обработки, в том числе хранения персональных данных, порядок уничтожения персональных данных.

  • Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика:

     

    • Трудовой кодекс Российской Федерации;
    • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
    • Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
    • Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
    • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
    • постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
    • приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
    • приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
    • приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
    • приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных»;
    • приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
    • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти Российской Федерации.

  • Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в СПб ГБУ «ЦРПП» вопросы обработки персональных данных, в случае их разработки.

  • Основные понятия, используемые в Политике:

    Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) .

    Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

    Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

    Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

    Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (далее – материальные носители).

    Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

    Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным, получившим доступ к персональным данным, лицам требование не допускать их раскрытие и распространение без согласия субъекта персональных данных или наличия иного законного основания.

    Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с действующим законодательством Российской Федерации не распространяется требование соблюдения конфиденциальности.

    Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Под информационными ресурсами Российской Федерации понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.

  • Основные права и обязанности Оператора.

    Оператор имеет право:

    • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено действующим законодательством Российской Федерации;
    • поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этим лицом договора или соглашения. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Законом;
    • в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;
    • осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций) (далее - Роскомнадзор) обработку персональных данных:
      • включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
      • в случае, если Оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
    • осуществлять иные права, предусмотренные действующим законодательством Российской Федерации.

    Оператор обязан:

    • организовывать обработку персональных данных в соответствии с требованиями Закона;
    • отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона;
    • сообщать в Роскомнадзор по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
    • если в соответствии с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;
    • в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (Федеральная служба безопасности), обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, доступ) персональных данных.

  • Основные права субъекта персональных данных.

    Субъект персональных данных имеет право:

    • получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом;
    • требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные действующим законодательством Российской Федерации меры по защите своих прав;
    • отозвать свое согласие на обработку персональных данных;
    • обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
    • осуществлять иные права, предусмотренные действующим законодательством Российской Федерации.

  • Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

  • Ответственность за нарушение требований действующего законодательства Российской Федерации в сфере обработки и защиты персональных данных определяется в соответствии с действующим законодательством Российской Федерации.

Правовые основания обработки персональных данных

  • Правовым основанием обработки персональных данных является совокупность документов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

    • Конституция Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Трудовой кодекс Российской Федерации;
    • Налоговый кодекс Российской Федерации;
    • Бюджетный кодекс Российской Федерации;
    • федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
    • федеральный закон от 24.07.2007 № 209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации»;
    • федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
    • федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
    • федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
    • федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
    • федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
    • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
    • устав СПб ГБУ «ЦРПП»;
    • государственное задание;
    • договоры и(или) соглашения, заключаемые между Оператором и субъектами персональных данных;
    • согласие субъектов персональных данных на обработку их персональных данных.

Содержание и объем обрабатываемых персональных данных

  • Содержание и объем обрабатываемых Оператором персональных данных определяется в соответствии с действующим законодательством Российской Федерации и локальными нормативными актами СПб ГБУ «ЦРПП».

  • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 3 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

  • Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется только с согласия субъекта персональных данных в соответствии с действующим законодательством Российской Федерации.

  • Оператор осуществляет фото-, видео-, аудиозапись в месте осуществления своей деятельности, открытом для свободного посещения, в том числе при проведении публичных мероприятий, с целью фиксации возможных действий противоправного характера. Данные действия Оператора не являются обработкой биометрических персональных данных, поскольку не используются Оператором для установления личности. Об осуществлении данных действий Оператор информирует соответствующими текстовыми и(или) графическими предупреждениями.

  • Оператор осуществляет фото-, видео-, аудиозапись в месте осуществления своей деятельности с целью реализации трудовых отношений, а именно контроля за выполняемой работой работниками Оператора, контроля качества предоставляемых услуг с письменного согласия работников Оператора. Срок хранения указанных биометрических персональных данных составляет 3 года со дня записи.

  • К обработке биометрических персональных данных допускаются работники Оператора, включенные в перечень должностей работников, допущенных к обработке биометрических персональных данных в Санкт-Петербургском государственном бюджетном учреждении «Центр развития и поддержки предпринимательства». Лица, получающие биометрические персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном действующим законодательством Российской Федерации.

  • Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

Порядок и условия обработки персональных данных

  • Обработка персональных данных осуществляется Оператором в соответствии с требованиями действующего законодательства Российской Федерации.

  • Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных действующим законодательством Российской Федерации.

  • Оператор осуществляет как автоматизированную, в том числе с передачей по каналам связи, так и неавтоматизированную обработку персональных данных.

  • Оператор с персональными данными осуществляет действия (операции) или совокупность действий (операций) включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

  • К обработке персональных данных допускаются работники Оператора, включенные в перечень должностей работников, допущенных к обработке персональных данных в Санкт-Петербургском государственном бюджетном учреждении «Центр развития и поддержки предпринимательства». Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном действующим законодательством Российской Федерации.

  • Обработка персональных данных осуществляется путем:

    • получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
    • получения персональных данных из общедоступных источников;
    • внесения персональных данных в журналы, реестры и информационные системы Оператора;
    • получения персональных данных из личных кабинетов пользователей (https://lk.ecp.spb.ru/) на официальном портале Оператора в информационно-телекоммуникационной сети «Интернет» (https://www.crpp.ru);
    • использования иных способов обработки персональных данных.

  • Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации (конфиденциальность персональных данных).

  • Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора или соглашения. Договор (соглашение) должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом. В поручении Оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона, обязанность по запросу Оператора персональных данных в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных Законом, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона, в том числе требование об уведомлении Оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона.

    Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

  • Предоставление персональных данных органам дознания и следствия, в органы государственной власти Российской Федерации, в Фонд пенсионного и социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, Федеральную налоговую службу, а также в иные государственные органы и организации осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

  • Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Российской Федерации, договором (соглашением), локальными нормативными актами Оператора.

  • При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе.

  • Условием прекращения обработки персональных данных Оператором являются: истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

    В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

  • В целях информационного обеспечения могут создаваться общедоступные источники персональных данных, содержащие общедоступные персональные данные. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адреса, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

    Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Право субъекта персональных данных на доступ к его персональным данным, уточнение и уничтожение персональных данных

  • Субъект персональных данных имеет право на получение информации в срок, установленный п. 6.2. настоящей Политики, касающейся обработки его персональных данных, в том числе содержащей:

    • подтверждение факта обработки персональных данных Оператором;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые Оператором способы обработки персональных данных;
    • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Закона;
    • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Законом;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных Законом;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
    • информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона;
    • иные сведения, предусмотренные Законом или другими федеральными законами.

  • Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона, предоставляются субъекту персональных данных или его представителю Оператором в течение 10 рабочих дней с даты обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

    Запрос должен содержать:

    • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
    • сведения о дате выдачи указанного документа и выдавшем его органе;
    • сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
    • подпись субъекта персональных данных или его представителя.

    Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

    Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе в соответствии с п. 1.6.1.1 настоящей Политики.

    Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

    Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

  • В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора, Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с даты такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

    В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

  • В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с даты такого обращения или получения запроса.

  • В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, Роскомнадзором или иным заинтересованным лицом уведомить Роскомнадзор:

    • в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
    • в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

  • В случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, в порядке, предусмотренном разделом 8 настоящей Политики, если:

    • иное не предусмотрено договором (соглашением), стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
    • Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом или иными нормативными правовыми актами.

  • Оператор осуществляет подтверждение уничтожения персональных данных в соответствии с требованиями Роскомнадзора, в порядке, установленном разделом 8 настоящей Политики.

Меры защиты при хранении персональных данных, способы хранения персональных данных, сроки обработки, в том числе хранения персональных данных

  • Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, и других несанкционированных действий, в том числе:

    • определение угроз безопасности персональных данных при работе с ними;
    • разграничение доступа пользователей и обслуживающего персонала к персональным данным;
    • ограничение доступа обслуживающего персонала, работников СПб ГБУ «ЦРПП» и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители персональных данных;
    • хранение материальных носителей персональных данных в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним, в том числе путем установки сейфов;
    • введение запрета на копирование работниками СПб ГБУ «ЦРПП» материальных носителей персональных данных, а также запрета на копирование персональных данных, хранящихся в электронном виде, на материальные носители в целях, не связанных с выполнением должностных обязанностей, или без письменного поручения директора СПб ГБУ «ЦРПП»;
    • организация учета документов, содержащих персональные данные;
    • резервирование технических средств и дублирование массивов и носителей информации;
    • использование средств защиты персональных данных, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности персональных данных, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
    • формирование требований к защите персональных данных, содержащихся в информационной системе персональных данных;
    • разработка и внедрение системы защиты персональных данных информационной системы персональных данных;
    • аттестация информационной системы персональных данных по требованиям защиты информации и ввод ее в действие;
    • заключение соглашений о неразглашении информации в форме дополнительных соглашений к трудовым договорам с работниками СПб ГБУ «ЦРПП»;
    • утверждение локальных нормативных актов и иных документов, регулирующих отношения в сфере работы с персональными данными;
    • утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе персональных данных, необходим для выполнения ими трудовых обязанностей;
    • назначение лиц, ответственных за обеспечение безопасности работы с персональными данными;
    • создание необходимых условий для работы с персональными данными;
    • возложение на работников СПб ГБУ «ЦРПП» обязанности блокировать учетную запись компьютера при каждом покидании рабочего места;
    • организация обучения работников СПб ГБУ «ЦРПП», осуществляющих работу с персональными данными.

  • Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Российской Федерации, договором (соглашением), локальными нормативными актами Оператора.

    Персональные данные на бумажных носителях хранятся в течение сроков, предусмотренных настоящей Политикой, если иных сроков хранения документов не предусмотрено законодательством об архивном деле в Российской Федерации, иными нормативными правовыми актами, а также номенклатурой дел СПб ГБУ «ЦРПП» .

    Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, а также содержащихся на электронных носителях, соответствует сроку хранения персональных данных на бумажных носителях.

  • Уничтожение персональных данных осуществляется комиссией на основании приказа Оператора, в случае обработки персональных данных, подлежащих уничтожению, без использования средств автоматизации - путем оформления акта об уничтожении (о прекращении обработки) персональных данных (далее - Акт); в случае обработки персональных данных, подлежащих уничтожению, с использованием средств автоматизации – путем оформления Акта и выгрузки из журнала регистрации событий в информационной системе персональных данных.

    Документы (носители) сверяются с записями в Акте, данными в выгрузке из журнала регистрации событий в информационной системе персональных данных и на документах (носителях), далее персональные данные уничтожаются путем: разрезания, измельчения, сжигания, механического уничтожения, либо стирания на устройствах, удаления в информационных системах персональных данных СПб ГБУ «ЦРПП» и т.п.

    Уничтоженные документы (носители), содержавшие персональные данные, списываются с книг и журналов учета (регистрации) данных документов (носителей) (при их наличии).

  • Сроки уничтожения персональных данных:

    • не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, в случае, если обеспечить правомерность обработки персональных данных невозможно;
    • не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами;
    • не превышающий 30 дней с даты поступления отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами.

  • В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 8.2. Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен действующим законодательством Российской Федерации.

Порядок уничтожения персональных данных

  • Уничтожение персональных данных осуществляется комиссией на основании приказа Оператора, в случае обработки персональных данных, подлежащих уничтожению, без использования средств автоматизации - путем оформления акта об уничтожении (о прекращении обработки) персональных данных (далее - Акт); в случае обработки персональных данных, подлежащих уничтожению, с использованием средств автоматизации – путем оформления Акта и выгрузки из журнала регистрации событий в информационной системе персональных данных.

    Документы (носители) сверяются с записями в Акте, данными в выгрузке из журнала регистрации событий в информационной системе персональных данных и на документах (носителях), далее персональные данные уничтожаются путем: разрезания, измельчения, сжигания, механического уничтожения, либо стирания на устройствах, удаления в информационных системах персональных данных СПб ГБУ «ЦРПП» и т.п.

    Уничтоженные документы (носители), содержавшие персональные данные, списываются с книг и журналов учета (регистрации) данных документов (носителей) (при их наличии).

  • Сроки уничтожения персональных данных:

    - не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, в случае, если обеспечить правомерность обработки персональных данных невозможно; - не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами; - не превышающий 30 дней с даты поступления отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами.

  • В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 8.2. Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен действующим законодательством Российской Федерации.

 
Анкета поставщика

Спасибо!

Ваше обращение принято. В ближайшее время с Вами свяжется специалист Центра развития и поддержки предпринимательства.
 
Размер шрифта Ш Ш Ш
Цвет фона Б Ч
Интервал между буквами Стандарт Средний Большой