Приложение N 3. Правила обработки персональных данных субъектов персональных данных в, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. Приказ Министерства цифровых технологий и связи Калининградской области от 07.07.2021 N 265 "Об утверждении методических рекомендаций по организации обработки и обеспечению безопасности персональных данных" (с изменениями и дополнениями)

Приложение N 3
к Методическим рекомендациям

Правила
обработки персональных данных субъектов персональных данных в (Наименование Организации), устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

1. Общие положения

1.1. Настоящие правила обработки персональных данных субъектов персональных данных в (Наименование Организации) (далее - Правила) разработаны в целях:

- обеспечения защиты прав и свобод субъектов персональных данных при обработке персональных данных в (Наименование Организации);

- установления процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации о персональных данных, иных правовых актов Российской Федерации, Калининградской области (далее - законодательство в сфере персональных данных), внутренних документов (Наименование Организации) по вопросам обработки и защиты персональных данных;

- определения целей обработки (Наименование Организации) персональных данных в установленной сфере деятельности, включая содержание обрабатываемых персональных данных, категории субъектов персональных данных, данные которых обрабатываются, сроки обработки (включая хранение) обрабатываемых персональных данных, а также порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований;

- установления ответственности работников (Наименование Организации), имеющих доступ к персональным данным субъектов персональных данных (далее - ПДн), за невыполнение требований норм, регулирующих обработку ПДн, установленных законодательством Российской Федерации, настоящим документом и иными внутренними документами (Наименование Организации).

1.2. Настоящие Правила разработаны в соответствии с законодательством Российской Федерации в области обработки и защиты ПДн и нормативными правовыми актами Калининградской области.

1.3. Действие настоящих Правил не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов, а также при обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Из числа работников (Наименование Организации) определяются лица, осуществляющие обработку ПДн в (Наименование Организации) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение требований в области обработки и защиты ПДн.

2. Основные понятия

В настоящих Правилах используются следующие основные понятия и определения:

2.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.2. Безопасность ПДн - комплекс мер, соответствующих требованиям законодательства в сфере защиты ПДн, направленных на обеспечение защищенности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

2.3. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.4. Материальный носитель информации - материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.

2.5. Неавтоматизированная обработка ПДн (обработка ПДн без использования средств автоматизации) - обработка ПДн, при которой такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого субъекта ПДн осуществляются при непосредственном участии человека. Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн либо были извлечены из нее.

2.6. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Действия (операции) с ПДн:

- сбор - действия (операции), направленные на получение ПДн;

- запись - действия (операции), направленные на фиксирование ПДн на материальных носителях и в ИСПДн;

- систематизация - действия (операции) по группировке ПДн;

- накопление - действия (операции) по сбору ПДн и формированию баз данных ПДн;

- хранение - действия (операции) с ПДн, направленные на создание условий для сохранности ПДн, включая их защиту от несанкционированного доступа до момента, когда ПДн должны быть уничтожены;

- извлечение - действия (операции), направленные на выборку ПДн из других сведений;

- уточнение (обновление, изменение) - действия (операции) с ПДн, совершаемые в целях их актуализации в случае изменения ПДн;

- использование - действия (операции) с ПДн, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц;

- распространение - действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;

- предоставление - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

- доступ - действия, направленные на предоставление доступа к ПДн;

- обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

- блокирование - действия, направленные на временное прекращение обработки ПДн (за исключением случаев, если обработка ПДн необходима для уточнения ПДн);

- удаление, уничтожение - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.

2.7. Иные понятия, применяемые в настоящих Правилах, используются в значениях, определенных законодательством Российской Федерации в области обработки и защиты ПДн и нормативными правовыми актами Калининградской области.

3. Цели обработки персональных данных и субъекты персональных данных

3.1. Обработка персональных данных осуществляется (Наименование Организации) в следующих целях: (указать цели обработки ПДн применительно к специфике деятельности конкретной Организации).

В соответствии с целями обработки ПДн, приведенными в качестве примера в Политике в отношении обработки персональных данных, целями обработки ПДн могут быть:

3.1.1. Обеспечение соблюдения федеральных законов и иных нормативных актов Российской Федерации и Калининградской области, регулирующих вопросы ведения бухгалтерского, налогового и воинского учета, кадровой работы при прохождении гражданами государственной гражданской службы Калининградской области в Организации.

3.1.2. Обеспечение соблюдения федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих вопросы участия граждан в конкурсах на включение в кадровый резерв и замещение вакантных должностей государственной гражданской службы Калининградской области в Организации.

3.1.3. Оформление доверенностей государственным гражданским служащим.

3.1.4. Проведение закупок в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд".

3.1.5. Заключение и исполнение государственных контрактов с контрагентами.

3.1.6. Обеспечение соблюдения федеральных законов и иных нормативных, правовых актов, регламентирующих правоотношения в сфере рассмотрения обращений физических и юридических лиц, обеспечение доступа к информации о деятельности государственных органов.

3.1.7. Предоставление государственных или муниципальных услуг и осуществление государственных или муниципальных функций.

Если для каких-либо целей обработки ПДн Организация является оператором ИСПДн, в которой ПДн обрабатываются в указанных целях, этот факт рекомендуется отразить по тексту документа. Далее приведен пример для случая, когда для цели обработки, указанной в п. 3.1.7, Организация является оператором ИСПДн, но не является оператором ПДн, обрабатываемых в этой ИСПДн.

3.2. Для целей обработки персональных данных, указанных в пунктах 3.1.1-3.1.6 настоящих Правил, (Наименование Организации) является оператором ПДн, организующим и (или) осуществляющим обработку ПДн, формируемых при осуществлении полномочий (Наименование Организации), а также определяющим цели и содержание обработки таких ПДн, действия (операции), совершаемые с ними.

3.3. Перечень обрабатываемых ПДн для целей, указанных в пунктах 3.1.1-3.1.6 настоящих Правил, закреплен в Перечне ПДн, обрабатываемых в (Наименование Организации), утверждаемом (Наименование Организации) в установленном порядке. Пересмотр содержания Перечня ПДн, обрабатываемых в (Наименование Организации), проводится по необходимости, но не реже одного раза в 3 (три) года.

3.4. При организации обработки ПДн в целях, предусмотренных пунктами 3.1.1-3.1.6 настоящих Правил, (Наименование Организации) осуществляется обработка ПДн путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения ПДн.

3.5. Для цели обработки ПДн, указанной в пункте 3.1.7 настоящих Правил, (Наименование Организации) является оператором ИСПДн и обеспечивает эксплуатацию ИСПДн, выполняя обработку ПДн в части записи, хранения и передачи с использованием средств автоматизации, при этом перечень обрабатываемых ПДн, перечень других действий, совершаемых при их обработке, перечень лиц, осуществляющих обработку ПДн, правила обработки ПДн в ИСПДн определяются оператором ПДн, обрабатываемых в этих ИСПДн.

3.6. Перечень информационных систем, в которых осуществляется обработка ПДн, закреплен в Перечне информационных систем персональных данных (Наименование Организации), утверждаемом (Наименование Организации) в установленном порядке.

3.7. К субъектам ПДн, чьи данные обрабатываются в (Наименование Организации), относятся: (указать перечень категорий субъектов ПДн применительно к специфике деятельности конкретной Организации).

Категориями субъектов ПДн, чьи данные обрабатываются в Организации, могут быть:

- государственные гражданские служащие;

- ближайшие родственники государственных гражданских служащих;

- уволенные государственные гражданские служащие;

- кандидаты, принимающие участие в конкурсе на замещение вакантных должностей гражданской службы Организации;

- представители организаций - участников закупок, проводимых Организацией в соответствии с требованиями Федерального закона от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (далее - участники закупок);

- представители контрагентов;

- физические лица, обратившиеся в Организацию с жалобой, предложением, заявлением или направившие запрос о предоставлении информации о деятельности Организации, ее подведомственных учреждений и предприятий;

- физические лица, предоставившие свои персональные в рамках исполнения Организацией своих полномочий.

4. Основные правила обработки персональных данных

4.1. Обработка ПДн может осуществляться (Наименование Организации) в случаях, установленных законодательством Российской Федерации в сфере ПДн, в том числе в случаях, когда:

4.1.1. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн в случаях, установленных законодательством Российской Федерации.

4.1.2. Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на (Наименование Организации) функций, полномочий и обязанностей.

4.1.3. Обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти Калининградской области и иных субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн в информационной системе Калининградской области "Государственные и муниципальные услуги".

4.1.4. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.

4.1.5. Обработка ПДн необходима для осуществления прав и законных интересов (Наименование Организации) или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

4.1.6. Осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе.

4.1.7. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации и Калининградской области.

4.2. В целях обеспечения прав и свобод человека и гражданина при обработке ПДн (Наименование Организации) обязана соблюдать следующие общие требования:

4.2.1. При определении объема и содержания обрабатываемых ПДн (Наименование Организации) должна руководствоваться законодательством Российской Федерации и нормативными правовыми актами Калининградской области.

4.2.2. Все ПДн следует получать непосредственно у субъекта ПДн, за исключением случаев, когда право (Наименование Организации) на получение ПДн иным способом установлено законодательством Российской Федерации в сфере ПДн и правовыми актами, принимаемыми в соответствии с данным законодательством или по поручению оператора ПДн.

Если предоставление ПДн является обязательным в соответствии с федеральным законом, но субъект ПДн отказывается их предоставить, необходимо разъяснить субъекту ПДн юридические последствия такого отказа.

4.2.3. Если ПДн получены не от субъекта ПДн, то до начала обработки таких ПДн необходимо предоставить субъекту ПДн информацию, определенную ч. 3 ст. 18 Федерального закона N 152-ФЗ "О персональных данных", за исключением случаев, предусмотренных ч. 4 ст. 18 требований Федерального закона N 152-ФЗ "О персональных данных".

4.2.4. В случае передачи ПДн третьей стороне обязательным требованием является наличие согласия субъекта ПДн, за исключением случаев, установленных законодательством Российской Федерации и нормативными правовыми актами Калининградской области.

4.2.5. (Наименование Организации) не имеет права получать и обрабатывать ПДн о ее членстве в общественных объединениях, за исключением случаев, предусмотренных законодательством Российской Федерации, нормативными правовыми актами Калининградской области.

4.2.6. ПДн не могут быть использованы в целях причинения имущественного и морального вреда субъекту ПДн, ограничения реализации его прав и свобод.

4.3. Доступ к ПДн:

4.3.1. Перечень должностей работников (Наименование Организации), осуществляющих обработку ПДн, закреплен в Перечне должностей работников (Наименование Организации), замещение которых предусматривает осуществление обработки персональных данных, утверждаемом (Наименование Организации) в установленном порядке.

В Перечне должностей работников также указываются должности тех работников, которые обеспечивают эксплуатацию ИСПДн, в отношении которых Организация является оператором ИСПДн.

4.3.2. Доступ к ПДн, обрабатываемым в (Наименование Организации), разрешается только работникам, должности которых включены в Перечень должностей работников (Наименование Организации), замещение которых предусматривает осуществление обработки персональных данных и только в необходимом объеме.

4.3.3. До начала обработки ПДн все работники (Наименование Организации) ознакомлены с положениями внутренних нормативных документов по вопросам обработки и обеспечения безопасности ПДн в (Наименование Организации) и подписывают Обязательство о неразглашении и обеспечении безопасности персональных данных.

4.3.4. До сведения работников (Наименование Организации), осуществляющих обработку ПДн, доводятся положения законодательства в сфере ПДн.

4.3.5. Работники (Наименование Организации), осуществляющие обработку ПДн без использования средств автоматизации, проинформированы:

- о факте обработки ими ПДн, осуществляемой без использования средств автоматизации;

- о категориях обрабатываемых ПДн;

- об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами, в том числе федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также внутренними документами (Наименование Организации);

- об ответственности в случае нарушении норм, регулирующих обработку и защиту ПДн, установленных законодательством Российской Федерации.

5. Правила обмена персональными данными с третьими лицами

5.1. (Наименование Организации) в ходе своей деятельности может получать ПДн от третьих лиц и передавать ПДн третьим лицам в установленных целях.

5.2. Обмен ПДн может осуществляться в следующих случаях:

- в случае получения или отправки письменного запроса на предоставление ПДн;

- в случае, когда (Наименование Организации) поручает обработку ПДн третьему лицу;

- в случае, когда (Наименование Организации) поручается обработка ПДн;

- в случае, когда между (Наименование Организации) и третьим лицом заключен договор (соглашение) и ПДн необходимо предоставить для исполнения договора;

- в случае, когда обмен ПДн осуществляется в целях исполнения требований законодательства.

5.3. Запрос на предоставление ПДн:

5.3.1. В случае получения (Наименование Организации) запроса на предоставление ПДн проверяется законность такого запроса и принимается решение о возможности предоставления ПДн.

5.3.2. Порядок рассмотрения запросов субъектов ПДн и их представителей определен в Правилах рассмотрения запросов субъектов персональных данных и их представителей.

5.3.3. В случае, если (Наименование Организации) направляет запрос на предоставление ПДн, такой запрос должен содержать цель запроса, правовые основания запроса, перечень запрашиваемой информации.

Обмен ПДн по телефону, факсу, электронной почте осуществляется при соблюдении конфиденциальности и по защищенным каналам связи или в зашифрованном виде. Обмен ПДн по незащищенным каналам связи не допускается.

5.3.4. Ответы на письменные запросы третьих лиц в пределах их компетенции и предоставленных полномочий даются в письменной форме и в необходимом объеме.

5.4. Поручение (Наименование Организации) обработки ПДн третьему лицу:

5.4.1. (Наименование Организации) вправе поручить обработку ПДн третьему лицу. При этом должны быть определены цели обработки ПДн. Третье лицо не вправе осуществлять обработку ПДн в любых иных целях, кроме указанных в поручении на обработку.

Поручение органом исполнительной власти (ОИВ) обработки ПДн третьим лицам может осуществляться путем заключения государственного контракта либо путем принятия ОИВ соответствующего акта (поручение оператора). Существенным условием поручения оператора является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПДн при их обработке.

5.4.2. Поручение на обработку ПДн должно содержать сведения, приведенные в ч. 3 ст. 6 Федерального закона N 152-ФЗ "О персональных данных".

5.4.3. (Наименование Организации) вправе поручить обработку ПДн только с согласия субъекта ПДн.

5.4.4. В случае если (Наименование Организации) поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет (Наименование Организации).

5.5. Поручение обработки ПДн (Наименование Организации):

5.5.1. (Наименование Организации) может быть поручена обработка ПДн от другого лица, являющегося оператором ПДн, на основании заключаемого с этим лицом договора (государственного или муниципального контракта) либо путем принятия государственным или муниципальным органом соответствующего нормативного правового акта Калининградской области об информационной системе, в котором (Наименование Организации) является участником информационно-технологического взаимодействия.

5.5.2. (Наименование Организации) при осуществлении обработки ПДн по поручению оператора обязана соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом N 152-ФЗ "О персональных данных".

5.5.3. (Наименование Организации) при осуществлении обработки ПДн по поручению оператора не обязана получать согласие субъекта ПДн на обработку его ПДн.

5.5.4. (Наименование Организации) при осуществлении обработки ПДн по поручению оператора несет ответственность перед оператором.

5.6. Обмен ПДн в рамках договорных отношений:

5.6.1. Договор между (Наименование Организации) и третьим лицом, в рамках исполнения которого будут предоставляться ПДн, должен содержать обязательство о соблюдении конфиденциальности ПДн.

5.7. Обмен ПДн на основании действующего законодательства:

5.7.1. Получателям