Приложение 3. Положение о политике в области обработки и защиты персональных данных. Приказ Министерства культуры Республики Хакасия от 09.07.2021 N 140 "О назначении ответственного за обеспечение безопасности персональных данных при их обработке в информационных системах Министерства культуры Республики Хакасия "

Приложение 3
к приказу Министерства культуры
Республики Хакасия
от 9 июля 2021 г. N 140

Положение
о политике в области обработки и защиты персональных данных

1. Общие положения

1.1. Положение о политике в области обработки и защиты персональных данных (далее - Положение) разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - федеральный закон N 152-ФЗ), иными нормативными правовыми актами Российской Федерации и Республики Хакасия и определяет политику Министерства культуры Республики Хакасия (далее - Оператор) в области обработки и защиты персональных данных, устанавливает процедуры по предотвращению и выявлению нарушений правил обработки и защиты персональных данных, устранению последствий таких нарушений.

1.2. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с законодательством Российской Федерации в области персональных данных.

1.3. Положение и изменения к Положению утверждаются руководителем Оператора и оформляются приказом Оператора.

1.4. Действие Положения распространяется на правоотношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

1.5. Во исполнение требований ч. 2 ст. 18.1 федерального закона N 152-ФЗ Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора: http://culture19.ru.

2. Информация об Операторе

2.1. Наименование: Министерство культуры Республики Хакасия

ИНН/КПП 1901021086 / 190101001

Юридический адрес: 655017, Республика Хакасия, город Абакан, улица Крылова, д. 72

Фактический адрес: 655019, Республика Хакасия, город Абакан, улица Пушкина, д. 28А стр. 1, а/я 711

тел. (3902) 248-130

e-mail: mk@r-19.ru

http://culture19.ru

2.2. Ответственный за общую организацию обработки и обеспечение безопасности персональных данных в Министерстве культуры Республики Хакасия (далее - Министерство) утверждается приказом Министерства.

3. Условия обработки персональных данных

3.1. Оператор вправе обрабатывать персональные данные только с согласия субъектов персональных данных на использование персональных данных.

3.2. Согласие на обработку персональных данных не требуется в следующих случаях:

персональные данные являются общедоступными;

обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, на основании определенного полномочия Оператора;

обработка персональных данных осуществляется по требованию уполномоченных государственных органов в случаях, предусмотренных федеральным законом;

обработка персональных данных осуществляется в целях исполнения договора, заключенного с Оператором;

обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.

3.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных федеральным законом N 152-ФЗ и настоящим Положением.

3.4. Обработка персональных данных происходит в следующих случаях:

принятие решения о приеме на работу;

заключение трудового договора;

взаимодействия с работниками Оператора в процессе реализации трудовых правоотношений;

оценка заявок участников процедур закупки товаров, работ, услуг Оператора;

реализация функций Оператора в процессе гражданско-правовых отношений, складывающихся в процессе хозяйственной деятельности Оператора при заключении и исполнении договоров, соглашений с контрагентами.

4. Порядок обработки персональных данных

4.1. Перечень действий оператора в отношении персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление), обезличивание, блокирование, удаление, уничтожение.

4.2. Персональные данные обрабатываются с использованием и без использования средств автоматизации.

4.3. Срок обработки персональных данных: с момента образования Оператора до прекращения его деятельности (ликвидации, реорганизации).

4.4. Оператор не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

4.5. Для достижения целей обработки персональных данных, в интересах и с согласия субъектов персональных данных, Оператор в ходе осуществления своей деятельности предоставляет персональные данные следующим организациям:

Федеральной налоговой службе Российской Федерации;

Пенсионному фонду Российской Федерации;

правоохранительным органам, органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации;

Аппарату Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия;

Государственному комитету цифрового развития и связи Республики Хакасия.

4.6. Оператор и его работники, получившие доступ к персональным данным, не вправе раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.7. Передача персональных данных осуществляется с соблюдением следующих требований:

запрещено сообщать персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью клиента, а также в других случаях, предусмотренных законами;

предупреждать лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

передавать персональные данные клиента его представителям в порядке, установленном федеральным законом N 152-ФЗ.

4.8. Право доступа к персональным данным имеют:

руководитель Оператора;

руководители и работники структурных подразделений Оператора;

ГКУ РХ "Межведомственный центр бюджетного учета и отчетности" на основании соглашения от 15.08.2012 N 0502133 к данным субъектов и контрагентов Оператора согласно направлению деятельности подразделения;

работники, осуществляющие техническое обеспечение деятельности Оператора.

4.9. Копировать и делать выписки персональных данных разрешено исключительно в служебных целях с разрешения руководителя Оператора.

4.10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 федерального закона N 152-ФЗ.

4.11. Безопасность персональных данных обеспечивается следующими способами:

путем назначения лиц, ответственных за организацию обработки персональных данных каждой категории. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются Правилами автоматической и неавтоматической обработки персональных данных в Министерстве культуры Республики Хакасия;

осуществление внутреннего контроля и аудита соответствия обработки персональных данных федеральному закону N 152-ФЗ, иным нормативным правовым актам и приказам Оператора;

хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных в Министерстве (Приказ Министерства от 22.05.2020 N 106). Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Оператора, расположенного в запираемом и опечатываемом помещении;

ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, приказами Оператора в отношении обработки персональных данных, обучением работников;

определение угроз безопасности персональным данным при их обработке в информационных системах персональных данных;

оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

учет машинных носителей персональных данных в случае их использования;

выявление фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным, защитой от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации.

5. Категории обрабатываемых Оператором персональных данных, источники получения, объем обрабатываемых персональных данных

5.1. Оператором обрабатываются следующие категории персональных данных:

персональные данные работников (бывших работников) Оператора, родственников работников. Источники получения: субъекты персональных данных - работники Министерства;

персональные данные претендентов на замещение вакантных должностей в Министерстве. Источники получения: субъекты персональных данных - граждане РФ, претендующие на замещение вакантных должностей в Министерстве;

персональные данные участников (их представителей) процедур закупок товаров, работ, услуг Оператора. Источники получения: участники закупок (их представители), общедоступные данные, в том числе, содержащиеся в ЕГРЮЛ, ЕГРИП, Едином реестре субъектов малого и среднего предпринимательства;

персональные данные контрагентов (их представителей) по договорам и соглашениям Министерства. Источники получения: контрагенты (их представители), налоговые органы, общедоступные данные, в том числе содержащиеся в ЕГРЮЛ, ЕГРИП, Едином реестре субъектов малого и среднего предпринимательства.

5.2. Перечень обрабатываемых персональных данных:

данные документа, удостоверяющего личность;

фамилия, имя, отчество (при наличии);

пол;

дата, месяц и год рождения;

место рождения,

место проживания и регистрации;

ИНН;

СНИЛС;

семейное положение, состав семьи;

социальное и имущественное положение;

образование, специальность, квалификация, профессия;

должность;

стаж работы;

сведения о доходах;

сведения о воинской обязанности и военной службе.

5.3. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) и специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

6. Права и обязанности Оператора и субъектов персональных данных

6.1. Субъекты персональных данных или их представители обладают правами, предусмотренными федеральным законом N 152-ФЗ и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

6.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 федерального закона N 152-ФЗ.

6.3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту расположения Оператора в рабочее время Оператора. Доступ к персональным данным включает право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом N 152-ФЗ.

6.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральным и региональным законодательством.

6.5. В случае представления интересов субъекта персональных данных представителем полномочия представителя подтверждаются доверенностью, оформленной в установленном порядке.

6.6. Субъект персональных данных предоставляет согласие на их использование в простой письменной форме.

6.7. В целях получения государственной поддержки субъект персональных данных (представитель субъекта персональных данных) своей подписью подтверждает согласие на обработку персональных данных, включающих: фамилию, имя, отчество, контактный телефон, адрес электронной почты, адрес регистрации/проживания в соответствии с требованиями ст. 9 федерального закона N 152-ФЗ.

6.8. Согласие предоставляется на осуществление любых действий в отношении персональных данных, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение. Согласие действует в течение 5 (пяти) лет, если субъект персональных данных не отзовет свое согласие.

6.9. Заявки и соглашения, в текст которых включается согласие на обработку персональных данных, должны содержать:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование (фамилию, имя, отчество) и адрес Оператора, получающего согласие субъекта персональных данных;

способ отзыва согласия.

6.10. По письменному требованию субъекта персональных данных, в случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка данных должна быть прекращена.

6.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

иное не предусмотрено соглашением между Оператором и субъектом персональных данных.

7. Меры ответственности

7.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.

7.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.