Приложение N 1. Правила обработки персональных данных в инспекции государственного строительного надзора Калужской области. Приказ Инспекции государственного строительного надзора Калужской области от 24.05.2021 N 36 "Об организации работы с персональными данными в инспекции государственного строительного надзора Калужской области"

Приложение N 1
к приказу инспекции
государственного
строительного надзора
Калужской области
от 24.05.2021 N 36

Правила
обработки персональных данных в инспекции государственного строительного надзора Калужской области

1. Общие положения

1.1. Правила обработки персональных данных в инспекции государственного строительного надзора Калужской области (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в инспекции государственного строительного надзора Калужской области (далее - инспекция).

1.2. Настоящие Правила определяют политику инспекции как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Обработка персональных данных в инспекции осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.

1.4. Термины и понятия, используемые в настоящих Правилах, применяются в значениях, определенных в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон).

1.5. Инспекция при осуществлении обработки персональных данных берет на себя обязательство не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.6. Инспекция не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

1.7. Осуществление трансграничной передачи персональных данных инспекцией не осуществляется.

1.8. Обработка персональных данных в инспекции осуществляется путем смешанной обработки персональных данных (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) с использованием средств автоматизации и без их использования с передачей по внутренней сети и сети Интернет.

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в инспекции используются следующие процедуры:

2.1.1. Осуществление внутреннего контроля соответствия обработки.

2.1.2. Ознакомление работников инспекции, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных и настоящими Правилами.

Журнал ознакомления работников инспекции государственного строительного надзора Калужской области с нормативными правовыми актами в сфере обработки и защиты персональных данных (приложение N 1 к Правилам) ведется лицом, ответственным за организацию обработки персональных данных.

2.1.3. Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей, соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки.

2.1.4. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных, в том числе исполнение обязательства о неразглашении информации, содержащей персональные данные (приложение N 2 к Правилам - "Обязательство о неразглашении информации, содержащей персональные данные").

2.1.5. Соблюдение порядка получения и передачи персональных данных.

2.2. Условием обработки персональных данных субъекта персональных данных является его письменное согласие на обработку персональных данных (приложение N 6 к Приказу - "Согласие на обработку персональных данных"). Согласия субъекта на обработку его персональных данных не требуется в случаях, предусмотренных Федеральных законом "О персональных данных".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложение N 9 к Приказу"

2.3. Письменное согласие субъекта персональных данных о получении его персональных данных у третьей стороны оформляется согласно установленной форме (приложение N 3 к Правилам). Обязанность по получению от субъекта персональных данных письменного согласия возлагается на работника инспекции, осуществляющего получение персональных данных.

2.4. Отзыв субъектом персональных данных согласия на обработку его персональных данных (приложение N 4 к Правилам - "Отзыв согласия на обработку персональных данных") оформляется согласно установленной форме.

2.5. Передача персональных данных возможна при наличии письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне (приложение N 5 к Правилам - "Согласие субъекта на передачу его персональных данных третьей стороне"). Исключения составляют случаи, предусмотренные Федеральным законом. Обязанность по получению письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне возлагается на работника инспекции, осуществляющего передачу персональных данных третьей стороне. Факт передачи персональных данных третьей стороне должен фиксироваться в журнале учета передачи персональных данных (приложение N 6 к Правилам - "Журнал учета передачи персональных данных"). Журнал учета передачи персональных данных ведется подразделениями инспекции самостоятельно.

2.6. Не допускается осуществление обработки персональных данных работниками инспекции, не подписавшими обязательство о неразглашении информации, содержащей персональные данные (приложение N 7 к Приказу - "Типовое обязательство работника инспекции государственного строительного надзора Калужской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей") и в чьи должностные регламенты (должностные инструкции) не включен пункт об ответственности за разглашение персональных данных.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложение N 10 к Приказу"

2.7. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.8. При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

2.9. Персональные данные (документы, содержащие персональные данные, а также другие материальные носители персональных данных) хранятся в специально оборудованных шкафах или сейфах, которые запираются на ключ. Журнал учета хранилищ носителей персональных данных инспекции (приложение N 7 к Правилам - "Журнал учета хранилищ носителей персональных данных инспекции государственного строительного надзора Калужской области") ведется лицом, ответственным за организацию обработки персональных данных.

3. Цели обработки и условия прекращения обработки персональных данных

3.1. Обработка персональных данных осуществляется в целях реализации функций и осуществления полномочий, возложенных на инспекцию в случаях, установленных Федеральным законом.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается обработка персональных данных категорий субъектов, не соответствующих заявленным целям обработки персональных данных.

3.2. Условиями прекращения обработки персональных данных в инспекции являются:

- прекращение служебного контракта (трудового договора) с субъектом персональных данных;

- изменение нормативной правовой базы, на основании которой ведется обработка персональных данных;

- другие причины, предусмотренные действующим законодательством.

4. Категории субъектов, персональные данные которых обрабатываются в инспекции

4.1. В инспекции обрабатываются персональные данные следующих категорий субъектов персональных данных:

1) государственные гражданские служащие инспекции и работники, состоящие в трудовых отношениях с инспекцией;

2) члены семей работников инспекции, замещающих должности государственной гражданской службы Калужской области;

3) граждан, претендующих на замещение должностей в инспекции, в том числе находящихся в кадровом резерве (далее - претенденты);

4) физические лица, состоящие в гражданско-правовых отношениях с инспекцией;

5) кандидаты на награждение;

6) физические лица (субъекты), обращающиеся в инспекцию с предложениями, заявлениями и жалобами, а также с устными обращениями, требующими рассмотрения и ответа в установленном порядке.

5. Порядок обработки персональных данных

5.1. Персональные данные государственных гражданских служащих инспекции, работников, состоящих в трудовых отношениях с инспекцией, граждан, претендующих на замещение должностей государственной гражданской службы инспекции (далее - работники), обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия работникам в прохождении государственной гражданской службы, выполнении работы, в целях формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения работниками должностных обязанностей, обеспечения личной безопасности работников и членов их семьи, обеспечения работникам установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

5.2. Обработка персональных данных работников, а также претендентов осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1. настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и положениями Федерального закона от 27.05.2003 N 58-ФЗ "О системе государственной службы Российской Федерации", Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федерального закона от 25.12.2008 N 273-ФЗ "О противодействии коррупции", Трудовым кодексом Российской Федерации.

5.3. Обработка специальных категорий персональных данных работников, а также претендентов осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1. настоящих Правил, в соответствии с подпунктом 2.3. пункта 2 части 2 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требуется письменное согласие граждан, претендующих на замещение указанной должности).

5.4. Обработка персональных данных работников, а также претендентов осуществляется при условии получения согласия указанных лиц в следующих случаях:

5.4.1. при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе;

5.4.2. при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

В указанных случаях согласие субъекта персональных данных оформляется в письменной форме и передается работникам кадровой службы в установленной форме, если иное не установлено федеральным законодательством.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Письменное согласие субъекта на обработку персональных данных получают работники административно-кадрового отдела инспекции по установленной форме.

5.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников, а также претендентов осуществляется путем получения персональных данных непосредственно от работников, а также претендентов, следующими способами:

5.5.1. получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в административно-кадровый отдел инспекции);

5.5.2. копирования оригиналов документов;

5.5.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

5.5.4. формирования персональных данных в ходе кадровой работы;

5.5.5. внесения персональных данных в информационные системы, используемые работниками административно-кадрового отдела.

5.6. В случае возникновения необходимости получения персональных данных работников у третьей стороны следует известить об этом работника заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

5.7. Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, не предусмотренные Перечнем персональных данных, обрабатываемых в инспекции, утвержденным настоящим приказом, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

5.8. Работник административно-кадрового отдела инспекции, осуществляющий сбор (получение) персональных данных непосредственно от работников, а также претендентов, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные (приложение N 8 к Приказу - "Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные").

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложение N 11 к Приказу"

5.8.1. Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные заполняется работником инспекции, осуществляющим разъяснение субъекту персональных данных юридических последствий отказа субъектом персональных данных предоставить свои персональные данные, то есть работником подразделения инспекции, ответственного за обработку персональных данных. В качестве оснований обработки персональных данных указываются конкретные статьи нормативных правовых актов, на основании которых собираются и обрабатываются персональные данные субъекта персональных данных. Юридическими последствиями отказа субъекта персональных данных в предоставлении своих персональных данных указываются юридические последствия, возникающие в соответствии с нормативными правовыми актами, на основании которых собираются и обрабатываются персональные данные субъекта персональных данных.

5.9. Передача (распространение, предоставление) и использование персональных данных работников, а также претендентов осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

6. Условия и порядок обработки персональных данных субъектов в связи с исполнением государственных функций

6.1. В инспекции обработка персональных данных физических лиц осуществляется в целях исполнения государственных функций.

6.2. Персональные данные граждан, обратившихся в инспекцию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в инспекции подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

6.3. Обработка персональных данных, необходимых в связи с исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона, Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими исполнение государственных функций в установленной сфере ведения инспекции.

6.4. Обработка персональных данных, необходимых в связи с исполнением государственных функций, осуществляется структурными подразделениями инспекции, исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в инспекцию в целях исполнения государственной функции, осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей) следующими способами:

6.5.1. получения оригиналов необходимых документов (заявление);

6.5.2. заверения копий документов;

6.5.3. внесения сведений в учетные формы (на бумажных и электронных носителях).

6.6. При исполнении государственной функции инспекцией запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

6.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения инспекции, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные в соответствии с установленной формой (приложение N 8 к приказу) и порядком (пункт 5.8.1. настоящих Правил).

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложение N 11 к приказу"

6.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) инспекцией осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

7. Сроки обработки и хранения персональных данных, порядок их уничтожения при достижении целей обработки или при наступлении иных законных оснований

7.1. Сроки обработки и хранения персональных данных в инспекции определяются в соответствии с законодательством Российской Федерации.

Если сроки обработки и хранения персональных данных не установлены федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных категорий субъектов, персональные данные которых обрабатываются в инспекции, указанных в разделе 4 настоящих Правил, осуществляются не дольше, чем этого требуют цели их обработки и хранения.

7.2. Персональные данные, содержащиеся в личных делах государственных гражданских служащих инспекции, а также в личных карточках государственных гражданских служащих инспекции хранятся в кадровом подразделении инспекции в течение десяти лет с последующим формированием и передачей указанных документов в архив, где хранятся в течение 75 лет.

7.3. Персональные данные граждан, обратившихся в инспекцию лично, а также направивших индивидуальные или коллективные обращения в письменной форме или в форме электронного документа, хранятся в течение 5 лет.

7.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях, в специальных разделах или на полях форм (бланков).

Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.

7.5. Контроль за хранением и использованием материальных носителей, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений инспекции.

7.6. Структурным подразделением инспекции, ответственным за документационное обеспечение, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии инспекции, состав которой утверждается приказом инспекции.

По итогам заседания экспертной комиссии инспекции составляются протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии инспекции и утверждается начальником инспекции.

7.7. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

Уничтожение документов, содержащих персональные данные, производится путем сжигания или с помощью бумагорезательной машины.

Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).