Приложение 2. Правила обработки персональных данных в Департаменте торговли и услуг г. Москвы. Приказ Департамента торговли и услуг г. Москвы от 24.12.2020 N 44 "Об обработке персональных данных в Департаменте торговли и услуг города Москвы и работе с персональными данными"

Приложение 2
к приказу Департамента
торговли и услуг города Москвы
от 24.12.2020 г. N 44

Правила
обработки персональных данных в Департаменте торговли и услуг города Москвы

1. Общие положения

1.1. Настоящие правила обработки персональных данных субъектов персональных данных в Департаменте торговли и услуг города Москвы (далее - Правила) разработаны в целях:

- обеспечения защиты прав и свобод субъектов персональных данных при обработке персональных данных в Департаменте торговли и услуг города Москвы (далее - Департамент);

- установления процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации о персональных данных, иных правовых актов Российской Федерации, города Москвы (далее - законодательство в сфере персональных данных), внутренних документов Департамента по вопросам обработки и защиты персональных данных;

- определения целей обработки Департаментом персональных данных в установленной сфере деятельности, включая содержание обрабатываемых персональных данных, категории субъектов персональных данных, данные которых обрабатываются, сроки обработки (в т.ч. хранения) обрабатываемых персональных данных, а также порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований;

- установления ответственности работников Департамента, имеющих доступ к персональных данных субъектов персональных данных (далее - ПДн), за невыполнение требований норм, регулирующих обработку ПДн, установленных законодательством Российской Федерации, настоящим документом и иными внутренними документами Департамента.

1.2. Настоящие Правила разработаны в соответствии с законодательством Российской Федерации в области обработки и защиты ПДн и нормативными правовыми актами города Москвы.

1.3. Действие настоящих Правил не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов, а также при обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Из числа работников Департамента определяются лица, осуществляющие обработку ПДн и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение требований в области обработки и защиты ПДн.

2. Основные понятия

В настоящих Правилах используются следующие основные понятия и определения:

2.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.2. Безопасность ПДн - комплекс мер, соответствующих требованиям законодательства в сфере защиты ПДн, направленных на обеспечение защищенности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

2.3. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.4. Материальный носитель информации - материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.

2.5. Неавтоматизированная обработка ПДн (обработка ПДн без использования средств автоматизации) - обработка ПДн, при которой такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого субъекта ПДн осуществляются при непосредственном участии человека. Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн, либо были извлечены из нее.

2.6. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Действия (операции) с ПДн:

- сбор - действия (операции), направленные на получение ПДн;

- запись - действия (операции), направленные на фиксирование ПДн на материальных носителях и в ИСПДн;

- систематизация - действия (операции) по группировке ПДн;

- накопление - действия (операции) по сбору ПДн и формированию баз данных ПДн;

- хранение - действия (операции) с ПДн, направленные на создание условий для сохранности ПДн, включая их защиту от несанкционированного доступа до момента, когда ПДн должны быть уничтожены;

- извлечение - действия (операции), направленные на выборку ПДн из других сведений;

- уточнение (обновление, изменение) - действия (операции) с ПДн, совершаемые в целях их актуализации в случае изменения ПДн;

- использование - действия (операции) с ПДн, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц;

- распространение - действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;

- предоставление - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

- доступ - действия, направленные на предоставление доступа к ПДн;

- обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

- блокирование - действия, направленные на временное прекращение обработки ПДн (за исключением случаев, если обработка ПДн необходима для уточнения ПДн);

- удаление, уничтожение - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.

2.7. Иные понятия, применяемые в настоящих Правилах, используются в значениях, определенных законодательством Российской Федерации в области обработки и защиты ПДн и нормативными правовыми актами города Москвы.

3. Цели обработки персональных данных и субъекты персональных данных

3.1. Обработка персональных данных осуществляется Департаментом в следующих целях:

3.1.1. Обеспечение соблюдения федеральных законов и иных нормативных актов Российской Федерации и города Москвы, регулирующих вопросы ведения бухгалтерского, налогового и воинского учета, кадровой работы при прохождении гражданами государственной гражданской службы города Москвы в Департаменте.

3.1.2. Обеспечение соблюдения федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих вопросы участия граждан в конкурсах на включение в кадровый резерв и замещение вакантных должностей государственной гражданской службы города Москвы в Организации.

3.1.3. Оформление доверенностей государственным гражданским служащим.

3.1.4. Проведение закупок в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд".

3.1.5. Заключение и исполнение государственных контрактов с контрагентами.

3.1.6. Обеспечение соблюдения федеральных законов и иных нормативных, правовых актов, регламентирующих правоотношения в сфере рассмотрения обращений физических и юридических лиц, обеспечение доступа к информации о деятельности Департамента.

3.2. Для целей обработки персональных данных, указанных в пунктах 3.1.1-3.1.6 настоящих Правил, Департамент является оператором ПДн, организующим и (или) осуществляющим обработку ПДн, формируемых при осуществлении своих полномочий, а также определяющим цели и содержание обработки таких ПДн, действия (операции), совершаемые с ними.

3.3. Перечень обрабатываемых ПДн для целей, указанных в пунктах 3.1.1-3.1.6 настоящих Правил, закреплен в Перечне персональных данных, обрабатываемых в Департаменте, утверждаемом в установленном порядке. Пересмотр содержания Перечня персональных данных, обрабатываемых в Департаменте, проводится по необходимости, но не реже одного раза в 3 года.

3.4. При организации обработки ПДн в целях, предусмотренных пунктами 3.1.1-3.1.6 настоящих Правил, Департаментом осуществляется обработка ПДн путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения ПДн.

3.5. К субъектам ПДн, чьи данные обрабатываются в Департаменте, относятся:

- государственные гражданские служащие;

- ближайшие родственники государственных гражданских служащих;

- уволенные государственные гражданские служащие;

- кандидаты, принимающие участие в конкурсе на замещение вакантных должностей гражданской службы Департамента;

- представители организаций - участников закупок, проводимых Департаментом в соответствии с требованиями федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (далее - участники закупок);

- представители контрагентов;

- физические лица, обратившиеся в Департамент с жалобой, предложением, заявлением или направившие запрос о предоставлении информации о деятельности Департамента, его подведомственных учреждений и предприятий;

- физические лица, предоставившие свои персональные в рамках исполнения Департаментом своих полномочий.

4. Основные правила обработки персональных данных

4.1. Обработка ПДн может осуществляться Департаментом в случаях, установленных законодательством Российской Федерации в сфере ПДн, в том числе в случаях, когда:

4.1.1. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн в случаях, установленных законодательством Российской Федерации.

4.1.2. Обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Департамент функций, полномочий и обязанностей.

4.1.3. Обработка ПДн необходима для осуществления прав и законных интересов Департамента или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

4.1.4. Осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе.

4.1.5. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации и города Москвы.

4.2. В целях обеспечения прав и свобод человека и гражданина при обработке ПДн Департамент обязан соблюдать следующие общие требования:

4.2.1. При определении объема и содержания обрабатываемых ПДн Департамент должен руководствоваться законодательством Российской Федерации и нормативными правовыми актами города Москвы.

4.2.2. Все ПДн следует получать непосредственно у субъекта ПДн, за исключением случаев, когда право Департамента на получение ПДн иным способом установлено законодательством Российской Федерации в сфере ПДн и правовыми актами, принимаемыми в соответствии с данным законодательством или по поручению оператора ПДн.

Если предоставление ПДн является обязательным в соответствии с федеральным законом, но субъект ПДн отказывается их предоставить, необходимо разъяснить субъекту ПДн юридические последствия такого отказа.

4.2.3. Если ПДн получены не от субъекта ПДн, то до начала обработки таких ПДн необходимо предоставить субъекту ПДн информацию, определенную ч. 3 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон "О персональных данных"), за исключением случаев, предусмотренных ч. 4 ст. 18 требований Закона "О персональных данных".

4.2.4. В случае передачи ПДн третьей стороне обязательным требованием является наличие согласия субъекта ПДн, за исключением случаев, установленных законодательством Российской Федерации и нормативными правовыми актами города Москвы.

4.2.5. ПДн не могут быть использованы в целях причинения имущественного и морального вреда субъекту ПДн, ограничения реализации его прав и свобод.

4.3. Доступ к ПДн:

4.3.1. Перечень должностей работников Департамента, осуществляющих обработку ПДн, закреплен в "Перечне должностей работников Департамента, замещение которых предусматривает осуществление обработки персональных данных", утверждаемом Департаментом в установленном порядке.

4.3.2. Доступ к ПДн, обрабатываемым в Департаменте, разрешается только работникам, должности которых включены в "Перечень должностей работников Департамента, замещение которых предусматривает осуществление обработки персональных данных" и только в необходимом объеме.

4.3.3. До начала обработки ПДн все работники Департамента должны быть ознакомлены с положениями внутренних нормативных документов по вопросам обработки и обеспечения безопасности ПДн в Департаменте и подписывают Обязательство о неразглашении и обеспечении безопасности персональных данных.

4.3.4. До сведения работников Департамента, осуществляющих обработку ПДн, доводятся положения законодательства в сфере ПДн.

4.3.5. Работники Департамента, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы:

- о факте обработки ими ПДн, осуществляемой без использования средств автоматизации;

- о категориях обрабатываемых ПДн;

- об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами, в том числе, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также внутренними документами Департамента;

- об ответственности в случае нарушении норм, регулирующих обработку и защиту ПДн, установленных законодательством Российской Федерации.

5. Правила обмена персональными данными с третьими лицами

5.1. Департамент в ходе своей деятельности может получать ПДн от третьих лиц и передавать ПДн третьим лицам в установленных целях.

5.2. Обмен ПДн может осуществляться в следующих случаях:

- в случае получения или отправки письменного запроса на предоставление ПДн;

- в случае, когда Департамент поручает обработку ПДн третьему лицу;

- в случае, когда Департаменту поручается обработка ПДн;

- в случае, когда между Департаментом и третьим лицом заключен договор (соглашение) и ПДн необходимо предоставить для исполнения договора;

- в случае, когда обмен ПДн осуществляется в целях исполнения требований законодательства.

5.3. Запрос на предоставление ПДн:

5.3.1. В случае получения Департаментом запроса на предоставление ПДн проверяется законность такого запроса и принимается решение о возможности предоставления ПДн.

5.3.2. Порядок рассмотрения запросов субъектов ПДн и их представителей определен в Правилах рассмотрения запросов субъектов персональных данных и их представителей.

5.3.3. В случае, если Департамент направляет запрос на предоставление ПДн, такой запрос должен содержать цель запроса, правовые основания запроса, перечень запрашиваемой информации.

5.3.4. Ответы на письменные запросы третьих лиц в пределах их компетенции и предоставленных полномочий даются в письменной форме и в необходимом объеме.

5.4. Поручение Департаментом обработки ПДн третьему лицу:

5.4.1. Департамент вправе поручить обработку ПДн третьему лицу. При этом должны быть определены цели обработки ПДн. Третье лицо не в праве осуществлять обработку ПДн в любых иных целях, кроме указанных в поручении на обработку.

5.4.2. Поручение на обработку ПДн должно содержать сведения, приведенные в ч. 3 ст. 6 Закона "О персональных данных".

5.4.3. Департамент вправе поручить обработку ПДн только с согласия субъекта ПДн.

5.4.4. В случае если Департамент поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Департамент.

5.5. Поручение обработки ПДн Департаментом:

5.5.1. Департаментом может быть поручена обработка ПДн от другого лица, являющегося оператором ПДн, на основании заключаемого с этим лицом договора (государственного контракта), либо путем принятия Департаментом соответствующего нормативного правового акта об информационной системе, в котором Департамент является участником информационно-технологического взаимодействия.

5.5.2. Департамент при осуществлении обработки ПДн по поручению оператора, обязан соблюдать принципы и правила обработки ПДн, предусмотренные Законом "О персональных данных".

5.5.3. Департамент при осуществлении обработки ПДн по поручению оператора не обязан получать согласие субъекта ПДн на обработку его ПДн.

5.5.4. Департамент при осуществлении обработки ПДн по поручению оператора несет ответственность перед оператором.

5.6. Обмен ПДн в рамках договорных отношений:

5.6.1. Договор между Департаментом и третьим лицом, в рамках исполнения которого будут предоставляться ПДн, должен содержать обязательство о соблюдении конфиденциальности ПДн.

5.7. Обмен ПДн на основании законодательства.

5.7.1. Получателями ПДн в соответствии с законодательством Российской Федерации являются Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации, Государственная инспекция труда, налоговые органы, правоохранительные и судебные органы, органы статистики и иные органы надзора и контроля соблюдения законодательства о труде.

6. Хранение персональных данных

6.1. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

6.2. Сроки хранения ПДн в Департаменте определяются исходя из целей обработки ПДн и в соответствии с требованиями законодательства Российской Федерации.

6.3. Срок хранения ПДн в электронном виде не должен превышать срок хранения этих же данных на бумажных носителях.

6.4. При хранении ПДн на машинных носителях Департамента обеспечивается регулярное резервное копирование информации с целью недопущения потери ПДн при выходе из строя машинных носителей ПДн.

7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

7.1. В Департаменте ПДн уничтожаются в следующих случаях:

- достижения цели обработки ПДн (в том числе по истечении установленных сроков хранения);

- отзыва субъектом ПДн согласия на обработку своих ПДн, когда это согласие является обязательным условием обработки ПДн;

- невозможности устранения допущенных при обработке ПДн нарушений;

- получения соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн.

7.2. Лица, осуществляющие обработку ПДн на бумажных и электронных носителях, осуществляют систематический контроль и выделение документов и сведений, содержащих ПДн, с истекшими сроками хранения, подлежащих уничтожению.

7.3. Уничтожение документов и сведений с истекшим сроком хранения осуществляется в установленном в Департаменте порядке.

7.4. Сроки уничтожения ПДн в случаях, приведенных в п. 7.1 настоящих Правил, определяются ст. 21 Закона "О персональных данных".

7.5. Уничтожение ПДн на бумажных и электронных носителях производится путем, не позволяющим произвести считывание или восстановление ПДн.

7.6. Уничтожение ПДн осуществляется комиссией, назначаемой приказом по Департаменту.

7.7. По результатам уничтожения составляется Акт уничтожения персональных данных в Департаменте.

8. Правила обработки персональных данных, осуществляемой без использования средств автоматизации

8.1. При неавтоматизированной обработке ПДн на материальных носителях должны выполнятся требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 N 687.

8.2. При работе с материальными носителями ПДн должны выполняться следующие правила:

8.2.1. Хранение материальных носителей ПДн допускается только в тех помещениях и хранилищах (шкафах, сейфах), которые указаны в "Перечне мест хранения материальных носителей персональных данных в Департаменте". В случае необходимости организации нового хранилища, соответствующие изменения вносятся в Перечень мест хранения материальных носителей персональных данных.

8.2.2. Материальные носители ПДн должны храниться в сейфах или запирающихся шкафах. Постоянное хранение материальных носителей ПДн в ящиках столов, открытых шкафах и других, не предназначенных для этого местах, не допускается.

8.2.3. Неконтролируемое пребывание посторонних лиц в помещениях, в которых хранятся материальные носители ПДн, не допускается. На время отсутствия работников на рабочем месте помещения должны запираться.

8.2.4. Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях ¹.

8.2.5. За сохранность конкретного материального носителя ПДн отвечает работник, получивший этот материальный носитель в пользование.

8.2.6. В целях обеспечения сохранности и безопасности материальных носителей ПДн работникам Департамента запрещается:

- разглашать содержимое материальных носителей ПДн;

- передавать материальные носители ПДн лицам, не имеющим права доступа к ним;

- несанкционированно вносить какие-либо изменения в содержимое материальных носителей ПДн;

- использовать материальные носители ПДн, подлежащие уничтожению;

- оставлять материальные носители ПДн на столах и в других легкодоступных местах при отсутствии работника на рабочем месте;

- несанкционированно копировать и/или тиражировать материальные носители ПДн;

- несанкционированно выносить материальные носители ПДн за пределы служебных помещений.

8.2.7. Вывод на печать документов, содержащих ПДн, допускается в связи с исполнением служебных обязанностей, в том числе в целях передачи печатных копий субъектам ПДн либо лицам, допущенным в соответствии с настоящими Правилами работы с ПДн.

8.2.8. При печати ПДн на материальные носители ПДн запрещается оставлять материальные носители ПДн в принтере после печати.

9. Обеспечение защиты персональных данных

9.1. Защита ПДн обеспечивается совокупностью организационных, технических и правовых мероприятий, необходимых для обеспечения уровня защищенности ПДн, установленного законодательством Российской Федерации и внутренними документами Департамента, в том числе ограничением доступа к ПДн и в помещения, в которых осуществляется обработка ПДн.

9.2. Защите подлежат:

- документы, содержащие ПДн на бумажных носителях;

- ПДн, содержащиеся на электронных носителях и (или) в информационных системах.

9.3. Лица, осуществляющие обработку ПДн на бумажных и электронных носителях, обеспечивают их защиту от несанкционированного доступа и копирования в соответствии с требованиями законодательства Российской Федерации в сфере ПДн, внутренних документов Департамент по вопросам обработки и защиты ПДн.

9.4. Обрабатываемые ПДн подлежат защите от актуальных угроз безопасности информации. Безопасность ПДн при их обработке обеспечивается путем принятия правовых, организационных и технических мер, направленных на защиту ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн.

9.5. Обеспечение безопасности ПДн достигается:

- определением угроз безопасности ПДн при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей ПДн;

- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн, обрабатываемых в информационных систем персональных данных.

10. Права субъектов персональных данных

10.1.1. Субъекты ПДн, данные которых обрабатываются в Департаменте, имеют право:

- получать у Департамента полную информацию, касающуюся обработки его ПДн;

- осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации и города Москвы;

- требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- обжаловать действия или бездействие Департамента в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или в судебном порядке в случае, если субъект ПДн считает, что Департамент осуществляет обработку его ПДн с нарушением требований Закона "О персональных данных", или иным образом нарушает его права и свободы;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке;

- осуществлять иные действия, предусмотренные законодательством Российской Федерации в сфере ПДн.

------------------------------

¹_{Допускается хранение таких материальных носителей ПДн в одном шкафу на различных полках При этом материальные носители ПДн должны быть сгруппированы по целям обработки зафиксированных на них ПДн.}