Политика СПб ГАУ «Центр государственной экспертизы» в отношении обработки персональных данных
Общее положение
Политика в отношении обработки персональных данных в Санкт-Петербургском государственном автономном учреждении «Центр государственной экспертизы» (далее – СПб ГАУ «ЦГЭ», Учреждение) разработана в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
Политика в отношении обработки персональных данных в СПб ГАУ «ЦГЭ» (далее – Политика) определяет порядок и условия обработки персональных данных с использованием средств автоматизации и без использования таких средств.
СПб ГАУ «ЦГЭ» осуществляет обработку персональных данных, обеспечивает защиту прав и свобод субъектов персональных данных при обработке их персональных данных.
В Учреждении назначаются лица, ответственные за организацию обработки персональных данных и информационную безопасность.
В СПб ГАУ «ЦГЭ» разрабатывается и утверждается Положение об обработке и защите персональных данных, другие нормативные правовые акты, устанавливающие процедуры и действия, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
В Учреждении применяются предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных (далее – ИСПДн) Учреждения.
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Учреждении организовано проведение периодических проверок условий обработки персональных данных.
Цели сбора персональных данных
Сбор и обработка персональных данных в СПб ГАУ «ЦГЭ» осуществляется в целях исполнения условий трудового законодательства, реализации прав и социальных гарантий работников, осуществления финансово-хозяйственной деятельности, обеспечения проведения экспертизы, ведения образовательной деятельности, приема и регистрации обращений граждан и организаций, обеспечения соблюдения законов и иных нормативных правовых актов, а также в иных предусмотренных законодательством целях, необходимых для реализации полномочий СПб ГАУ «ЦГЭ».
Правовые основания обработки персональных данных
Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми СПб ГАУ «ЦГЭ» осуществляет обработку персональных данных, в том числе:
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Градостроительный кодекс Российской Федерации;
- Кодекс Российской Федерации об административных правонарушениях;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
- Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
- Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановление Правительства Российской Федерации от 28.05.2021 № 815 «Об утверждении перечня национальных стандартов и сводов правил (частей таких стандартов и сводов правил), в результате применения которых на обязательной основе обеспечивается соблюдение требований Федерального закона «Технический регламент о безопасности зданий и сооружений», и о признании утратившим силу постановления Правительства Российской Федерации от 4 июля 2020 г. № 985»;
- постановление Правительства Российской Федерации от 05.03.2007 № 145 «О порядке организации и проведения государственной экспертизы проектной документации и результатов инженерных изысканий»;
- постановление Правительства Российской Федерации от 16.02.2008 № 87 «О составе разделов проектной документации и требованиях к их содержанию»;
- постановление Правительства Российской Федерации от 19.01.2006 № 20 «Об инженерных изысканиях для подготовки проектной документации, строительства, реконструкции объектов капитального строительства»;
- приказ Росстроя от 02.07.2007 № 186 «О порядке ведения Реестра выданных заключений государственной экспертизы проектной документации и результатов инженерных изысканий и предоставления сведений, содержащихся в этом Реестре»;
- приказ Минстроя России от 12.05.2017 № 783/пр «Об утверждении требований к формату электронных документов, представляемых для проведения государственной экспертизы проектной документации и (или) результатов инженерных изысканий и проверки достоверности определения сметной стоимости строительства, реконструкции, капитального ремонта объектов капитального строительства»;
- приказ Минстроя России от 08.06.2018 № 341/пр «Об утверждении Требований к составу, содержанию и порядку оформления заключения государственной экспертизы проектной документации и (или) результатов инженерных изысканий»;
- приказ Минстроя России от 04.08.2020 № 421/пр «Об утверждении Методики определения сметной стоимости строительства, реконструкции, капитального ремонта, сноса объектов капитального строительства, работ по сохранению объектов культурного наследия (памятников истории и культуры) народов Российской Федерации на территории Российской Федерации»;
- Закон Санкт-Петербурга от 24.11.2009 № 508-100 «О градостроительной деятельности в Санкт-Петербурге»;
- постановление Правительства Санкт-Петербурга от 26.10.2004 № 1747 «О Службе государственного строительного надзора экспертизы Санкт-Петербурга»;
- постановление Правительства Санкт-Петербурга от 23.10.2009 № 1177 «О создании Санкт-Петербургского государственного автономного учреждения «Центр государственной экспертизы».
Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
СПб ГАУ «ЦГЭ» не осуществляет обработку персональных данных, несовместимую с целями сбора, и не осуществляет сбор избыточных по отношению к целям обработки персональных данных.
В СПб ГАУ «ЦГЭ» обрабатываются персональные данные следующих субъектов персональных данных:
- работников, бывших работников, а также лиц, входящих в состав семьи работников;
- кандидатов на замещение вакантных должностей;
- пользователей, предоставляемых СПб ГАУ «ЦГЭ» услуг (выполнения работ), а также их представителей;
- контрагентов и их представителей;
- физических лиц, обратившиеся в СПб ГАУ «ЦГЭ» в установленном законодательством Российской Федерации порядке;
- физических лиц, посещающих сайты и использующих сервисы СПб ГАУ «ЦГЭ» в сети Интернет;
- посетителей СПб ГАУ «ЦГЭ»;
- иных субъектов персональных данных, с которыми СПб ГАУ «ЦГЭ» взаимодействует для реализации видов деятельности, необходимых для реализации полномочий СПб ГАУ «ЦГЭ».
СПб ГАУ «ЦГЭ» обрабатывает персональные данные (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, имущественное положение, образование, профессия, доходы, другая информация, которая отвечает целям обработки), не относящиеся к персональным данным специальных категорий и биометрическим персональным данным.
Цели сбора персональных данных
Обработка персональных данных в СПб ГАУ «ЦГЭ» осуществляется как автоматизированным способом, так и без использования средств автоматизации.
Для сбора и последующей обработки персональных данных СПб ГАУ «ЦГЭ» использует базы данных, находящиеся на территории Российской Федерации.
При обработке персональных данных обеспечивается точность персональных данных и их достаточность, актуальность персональных данных по отношению к заявленным целям их обработки.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его законным представителем в любой позволяющей подтвердить факт его получения форме, за исключением случаев, предусмотренных Федеральным законом о персональных данных и иными нормативными правовыми актами, предписывающими получение согласия в письменной форме.
Согласие субъекта в письменной форме, содержащее сведения, предусмотренные частью 4 статьи 9 Закона о персональных данных, может быть получено:
- на бумажном носителе, содержащем собственноручную подпись субъекта персональных данных или его представителя;
- в форме электронного документа, подписанного усиленной квалифицированной электронной подписью субъекта персональных данных или его представителя.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей и в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между СПб ГАУ «ЦГЭ» и субъектом персональных данных либо если СПб ГАУ «ЦГЭ» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
СПб ГАУ «ЦГЭ» вправе продолжить обработку персональных данных без согласия субъекта персональных данных (при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, предусмотренных в пунктах 2-11 части 1 статьи 6 о персональных данных.
Персональные данные субъекта персональных данных могут быть получены СПб ГАУ «ЦГЭ» не от лица, являющегося субъектом персональных данных, при условии уведомления субъекта персональных данных. СПб ГАУ «ЦГЭ» освобождается от обязанности предоставить субъекту уведомление в случаях, указанных в части 4 статьи 18 Закона о персональных данных.
СПб ГАУ «ЦГЭ» обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
СПб ГАУ «ЦГЭ» вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных на основании заключаемого с этой стороной договора поручения на обработку персональных данных. При этом третья сторона обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
В случаях, когда СПб ГАУ «ЦГЭ» поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет СПб ГАУ «ЦГЭ». Лицо, осуществляющее обработку персональных данных по поручению СПб ГАУ «ЦГЭ», несет ответственность перед СПб ГАУ «ЦГЭ».
При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.
СПб ГАУ «ЦГЭ» может включать персональные данные субъектов в общедоступные источники персональных данных, при этом СПб ГАУ «ЦГЭ» берет согласие субъекта в письменной форме.
СПб ГАУ «ЦГЭ» при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
СПб ГАУ «ЦГЭ» обязано сообщить в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.
СПб ГАУ «ЦГЭ» обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, СПб ГАУ «ЦГЭ» обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. СПб ГАУ «ЦГЭ» обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
В случае подтверждения факта неточности персональных данных СПб ГАУ «ЦГЭ» на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению СПб ГАУ «ЦГЭ») в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
СПб ГАУ «ЦГЭ» обязано прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению СПб ГАУ «ЦГЭ»:
- в случае выявления неправомерной обработки персональных данных, осуществляемой СПб ГАУ «ЦГЭ» или лицом, действующим по поручению СПб ГАУ «ЦГЭ», в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных СПб ГАУ «ЦГЭ»;
- в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению СПб ГАУ «ЦГЭ») в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока СПб ГАУ «ЦГЭ» осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению СПб ГАУ «ЦГЭ») и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.