Приложение N 1. Правила обработки персональных данных в Министерстве экономического развития, предпринимательства и торговли Камчатского края. Приказ Министерства экономического развития, предпринимательства и торговли Камчатского края от 14.09.2015 N 528 "Об организации работы с персональными данными в Министерстве экономического развития, предпринимательства и торговли Камчатского края"

Приложение N 1
к приказу Минэкономразвития Камчатского края
от 14 сентября 2015 г. N 528-п

Правила
обработки персональных данных в Министерстве экономического развития, предпринимательства и торговли Камчатского края

1. Общие положения

1.1. Настоящие Правила обработки персональных данных в Министерстве экономического развития, предпринимательства и торговли Камчатского края (далее - Правила) определяют категории субъектов, персональные данные которых обрабатываются, цели обработки персональных данных и содержание обрабатываемых персональных данных, порядок обработки персональных данных, обязанности по защите персональных данных, порядок хранения, блокирования, прекращения обработки, обезличивания, уточнения и уничтожения персональных данных.

1.2. Министерство экономического развития, предпринимательства и торговли Камчатского края (далее - Министерство) является оператором, организующим и осуществляющим обработку персональных данных следующих категорий субъектов персональных данных (далее - субъекты):

1) государственные гражданские служащие и члены их семей;

2) лица, претендующие на замещение вакантных должностей государственной гражданской службы в Министерстве и члены их семей;

3) лица, замещающие государственные должности Камчатского края в Министерстве и члены их семей;

4) лица, обратившиеся в Министерство с обращениями;

5) лица, кандидатуры которых представляются в Министерство в связи с награждениями;

6) иные лица, персональные данные которых должны обрабатываться в соответствии с федеральным законодательством или законодательством Камчатского края.

1.3. Лицо, ответственное за организацию обработки персональных данных в Министерстве, назначается приказом Министерства.

1.4. Понятия, используемые в Правилах, применяются в тех же значениях, что и в Федеральных законах от 27.07.2006 г. "О персональных данных", от 27.07.2006 г. "Об информации, информационных технологиях и о защите информации".

2. Цели обработки персональных данных и содержание обрабатываемых персональных данных

2.1. В Министерстве персональные данные обрабатываются в целях:

1) обеспечения соблюдения Конституции Российской Федерации, Федерального закона "О государственной гражданской службе Российской Федерации", законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении краевой гражданской службы, обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества, учета результатов исполнения им должностных обязанностей и обеспечения сохранности имущества государственного органа Камчатского края;

2) осуществления и выполнения, возложенных на Министерство полномочий.

2.2. В целях, указанных в подпункте 1 пункта 2.1 настоящих Правил, в Министерстве обрабатываются следующие категории персональных данных:

1) фамилия, имя, отчество (в том числе предыдущие фамилия, имя, отчество в случае(ях) их изменения);

2) дата и место рождения;

3) гражданство (в том числе предыдущее в случае(ях) его изменения);

4) паспортные данные (серия, номер, кем и когда выдан);

5) адрес места жительства (адрес регистрации, адрес фактического проживания);

6) номер контактного телефона или сведения о других способах связи;

7) биометрические данные (фотографии);

8) сведения о семейном положении, о составе семьи, близких родственниках, о наличии иждивенцев;

9) сведения о профессиональном образовании, дополнительном профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

10) сведения о присвоении ученой степени, ученого звания;

11) сведения о трудовой деятельности;

12) номер страхового свидетельства обязательного пенсионного страхования;

13) идентификационный номер налогоплательщика;

14) номер страхового медицинского полиса обязательного медицинского страхования;

15) сведения о наличии государственных и иных наград;

16) сведения о воинском учете и реквизиты документов воинского учета;

17) информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

18) информация о наличии или отсутствии судимости;

19) информация об оформленных допусках к государственной тайне;

20) сведения о пребывании за границей Российской Федерации;

21) сведения о доходах, об имуществе и обязательствах имущественного характера, сведения о расходах, а также в соответствии с федеральным законодательством сведения о доходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;

22) медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

23) медицинское заключение по установленной форме об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну (при оформлении допуска к сведениям, составляющим государственную тайну);

24) документы, подтверждающие принадлежность налогоплательщика к категориям граждан, перечисленным в статье 218 Налогового кодекса Российской Федерации;

25) сведения о размере денежного содержания и иных выплат;

26) информация об ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

27) информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;

28) иные персональные данные, необходимые для достижения указанных целей в соответствии с федеральным законодательством и законодательством Камчатского края.

2.3. В целях, указанных в подпункте 2 пункта 2.1 настоящих Правил, в Министерстве обрабатываются следующие категории персональных данных:

1) фамилия, имя, отчество (в том числе предыдущие фамилия, имя, отчество в случае(ях) их изменения);

2) дата и место рождения;

3) гражданство (в том числе предыдущее в случае(ях) его изменения);

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

3) паспортные данные (серия, номер, кем и когда выдан);

4) адрес места жительства (адрес регистрации, адрес фактического проживания);

5) место работы (наименование и адрес организации, занимаемая должность; в случае отсутствия основного места работы или службы - род занятий);

6) сведения о наличии государственных и иных наград;

7) сведения о присвоении ученой степени, ученого звания;

8) сведения о трудовой деятельности;

9) сведения о семейном положении, о составе семьи, близких родственниках;

10) сведения о профессиональном образовании, дополнительном профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

11) информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

12) информация о наличии или отсутствии судимости;

13) информация об оформленных допусках к государственной тайне;

14) сведения о пребывании за границей Российской Федерации;

15) почтовый адрес;

16) адрес электронной почты;

17) номер контактного телефона или сведения о других способах связи;

18) биометрические данные (фотографии);

19) иные персональные данные, необходимые для достижения указанных целей в соответствии с федеральным законодательством и законодательством Камчатского края.

3. Порядок обработки персональных данных

3.1. Обработку персональных данных в Министерстве осуществляют гражданские служащие, замещение должностей которых предусматривает осуществление обработки персональных данных. Перечень лиц, допущенных к обработке персональных данных в Министерстве (далее - уполномоченные работники), определяется приказом Министерства.

Обработка персональных данных в Министерстве осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.

3.2. Обработка персональных данных в Министерстве основывается на принципах обработки персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

3.3. Обработка персональных данных в Министерстве осуществляется в случаях:

1) наличия согласия субъекта персональных данных на обработку его персональных данных;

2) необходимости исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

3) обеспечения прав и законных интересов оператора или третьих лиц либо достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

4) в иных случаях, предусмотренных федеральным законодательством.

3.4. В случае возникновения необходимости получения персональных данных субъекта персональных данных у третьей стороны оператор обязан известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных.

3.5. Субъект персональных данных предоставляет свои персональные данные оператору и дает согласие на их обработку самостоятельно либо через своего представителя. Согласие на обработку персональных данных может быть дано в любой форме, позволяющей подтвердить указанный факт, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

3.6. В Министерстве не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных". Если обработка специальных категорий персональных данных осуществлялась, то она должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась указанная обработка, если иное не установлено федеральным законом.

3.7. В Министерстве могут быть использованы информационные системы для учета и обработки персональных данных с учетом особенностей, установленных статьей 13 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

3.8. Срок обработки персональных данных определяется периодом времени, в течение которого оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.

3.9. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. При несовместимости целей обработки персональных данных, не допускается объединение баз данных.

При этом, если персональные данные зафиксированы на одном материальном носителе и указанное не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

3.10. Обработка персональных данных осуществляется с момента их получения оператором и прекращается:

- по достижении целей обработки;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки;

- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных.

3.11. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.

3.12. Передача персональных данных может осуществляться оператором на основании письменных запросов, в том числе запросов в форме электронного документа, а также в рамках заключенных письменных договоров (соглашений).

Основанием передачи персональных данных органам государственной власти, органам местного самоуправления, судебным органам, органам прокуратуры и следствия, физическим и юридическим лицам является:

- наличие норм законодательства, регламентирующих порядок и случаи передачи персональных данных;

- наличие письменного согласия субъекта персональных данных на обработку (в том числе передачу) его персональных данных.

3.13. При передаче персональных данных уполномоченный работник должен соблюдать следующие требования:

- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, прямо установленных законодательством Российской Федерации;

- уведомить получающих их лиц о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

- уведомить субъекта персональных данных о факте их передачи;

- не вносить в материальные и электронные носители персональных данных какие-либо пометки, исправления, не вносить новые записи, не извлекать документы или помещать новые, если это нарушает порядок обработки персональных данных.

3.14. Защита персональных данных субъектов персональных данных в Министерстве от неправомерного их использования или утраты обеспечивается за счет средств, предусмотренных на содержание Министерства.

3.15. Хранение, блокирование, уничтожение персональных данных осуществляется в соответствии с разделом 5 настоящих Правил.

4. Обязанности уполномоченных работников по защите персональных данных

4.1. Уполномоченные работники обязаны:

- знать и выполнять требования законодательства Российской Федерации в области обеспечения защиты персональных данных, в том числе соблюдать Правила;

- хранить в тайне известные им персональные данные, информировать руководство Министерства о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

- соблюдать порядок хранения и уничтожения персональных данных, исключить доступ к ним посторонних лиц;

- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения должностных обязанностей.

4.2. При обработке персональных данных уполномоченным работникам запрещается:

- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

- передавать персональные данные по незащищенным каналам связи (факсимильная связь, электронная почта и т.п.) либо без использования сертифицированных средств криптографической защиты информации;

- снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные, в неслужебных целях;

- выносить документы и другие носители информации, содержащие персональные данные, из помещений Министерства.

5. Порядок хранения, блокирования, прекращения обработки, обезличивания, уточнения и уничтожения персональных данных

5.1. Персональные данные хранятся на бумажных или материальных носителях информации (компакт-диск, флэш-карта, дискета), а также в электронной форме в специализированном программном обеспечении в соответствующих структурных подразделениях Министерства.

5.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.3. Документы, содержащие персональные данные, хранятся в запираемых шкафах.

5.4. В случае достижения целей обработки персональных данных, в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, а также в случае утраты необходимости в их достижении уполномоченный работник обязан:

- незамедлительно прекратить или обеспечить прекращение обработки персональных данных;

- уничтожить соответствующие персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

5.5. Обезличивание или уничтожение части персональных данных, если это допускается бумажным носителем, производится закрашиванием, вырезанием или иным способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных персональных данных, зафиксированных на бумажном носителе.

5.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных уполномоченный работник обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченный работник обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5.7. В случае подтверждения факта неточности персональных данных уполномоченный работник на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

5.8. В случае выявления неправомерной обработки персональных данных, уполномоченный работник в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченный работник в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченный работник обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5.9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, уполномоченный работник обязан прекратить обработку персональных данных или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

5.10. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 5.4; 5.8; 5.9 настоящих Правил, уполномоченный работник осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

5.11. Документы, содержащие персональные данные, при достижении целей обработки или при наступлении других законных оснований, не подлежащие архивному хранению, подлежат уничтожению способом, исключающим дальнейшую обработку персональных данных. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления информации.