Политика обработки персональных данных

Информационная система учёта автоматизированных рабочих мест Департамента лесного хозяйства по Северо-Западному федеральному округу

1. Оператор персональных данных

Оператором обработки персональных данных в информационной системе (далее — ИС) является Департамент лесного хозяйства по Северо-Западному федеральному округу (далее — Оператор).

2. Правовые основания обработки

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Трудовой кодекс Российской Федерации (гл. 14 «Защита персональных данных работника»);
• согласие субъекта персональных данных на обработку, оформленное при приёме на работу.

3. Цели обработки

• учёт автоматизированных рабочих мест, оборудования и программного обеспечения;
• учёт сотрудников Оператора, их должностей, отделов и закреплённых АРМ;
• регистрация и обработка заявок в службу технической поддержки;
• формирование служебных записок, актов выдачи, перемещения и списания оборудования;
• ведение журнала действий пользователей системы (аудит).

4. Категории обрабатываемых персональных данных

В ИС обрабатываются персональные данные сотрудников Оператора в объёме, необходимом для выполнения целей, указанных в разделе 3:

• фамилия, имя, отчество;
• должность, отдел, место расположения рабочего места;
• служебный адрес электронной почты;
• служебный телефон.

Специальные категории персональных данных, биометрические персональные данные в ИС не обрабатываются.

5. Меры защиты персональных данных

• криптографическая защита служебного email и телефона в базе данных алгоритмом AES-256-GCM с уникальным nonce для каждой записи;
• передача данных по защищённому каналу HTTPS (TLS 1.3);
• двухфакторная аутентификация привилегированных учётных записей по протоколу TOTP (RFC 6238);
• разграничение доступа на основе ролевой модели (6 ролей);
• ведение журнала аудита всех действий по созданию, изменению и удалению записей с фиксацией субъекта, времени и характера изменения;
• хеширование паролей по алгоритму PBKDF2-HMAC-SHA256 (100 000 итераций, индивидуальная соль);
• защита от подделки межсайтовых запросов (anti-CSRF токен).

6. Использование файлов cookie

ИС использует исключительно технические cookie-файлы, необходимые для функционирования сайта:

• .AspNetCore.Cookies — идентификатор сессии аутентификации;
• .AspNetCore.Antiforgery — токен защиты от CSRF-атак;
• .AspNetCore.Culture — выбранная пользователем локаль интерфейса.

Аналитические, рекламные, сторонние трекинговые cookie-файлы в ИС не используются. Согласно п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ, обработка указанных технических cookie-файлов осуществляется без получения отдельного согласия субъекта, так как необходима для исполнения договора и достижения целей, предусмотренных федеральным законодательством.

7. Сроки хранения

Персональные данные хранятся в ИС в течение срока действия трудовых отношений субъекта с Оператором и в течение последующих сроков, установленных законодательством Российской Федерации об архивном деле. Записи журнала аудита хранятся не менее одного года с момента их создания.

8. Права субъекта персональных данных

В соответствии со ст. 14 Федерального закона № 152-ФЗ субъект персональных данных имеет право:

• получать сведения об обработке его персональных данных;
• требовать уточнения, блокирования или уничтожения своих персональных данных в случае их неполноты, неточности либо неправомерной обработки;
• отозвать согласие на обработку персональных данных;
• обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке.

9. Контактная информация

Запросы по вопросам обработки персональных данных направляются по адресу Оператора либо через службу технической поддержки ИС.

Редакция от 19.05.2026.