Приложение 1. Правила обработки персональных данных в Комитете по туризму г. Москвы. Приказ Комитета по туризму г. Москвы от 20.07.2021 N 01-14-75/21 "Об обработке персональных данных и работе с персональными данными в Комитете по туризму города Москвы" (с изменениями и дополнениями) (документ не действует)

Приложение 1
к приказу Комитета
по туризму города Москвы
от 20.07.2021 г. N 01-14-75/21

Правила
обработки персональных данных в Комитете по туризму города Москвы

1. Общие положения

1.1. Настоящие Правила обработки персональных данных субъектов персональных данных в Комитете по туризму города Москвы (далее соответственно - Правила, Мостуризм) разработаны в целях:

- обеспечения защиты прав и свобод субъектов персональных данных при обработке персональных данных в Мостуризме;

- установления процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации о персональных данных, иных правовых актов Российской Федерации, города Москвы (далее - законодательство в сфере персональных данных), внутренних документов Мостуризма по вопросам обработки и защиты персональных данных;

- определения целей обработки Мостуризмом персональных данных (далее - ПДн) в установленной сфере деятельности, содержание обрабатываемых ПДн, категории субъектов ПДн, данные которых обрабатываются, сроки обработки (в т.ч. хранения) обрабатываемых ПДн, а также порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований.

1.2. Настоящие Правила разработаны в соответствии с законодательством в сфере персональных данных.

1.3. Действие настоящих Правил не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов, а также при обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Из числа государственных гражданских служащих Мостуризма определяются лица, осуществляющие обработку ПДн и несущие ответственность в соответствии с законодательством Российской Федерации за нарушение требований в области обработки и защиты ПДн.

2. Основные понятия

В настоящих Правилах используются следующие основные понятия и определения:

2.1. Автоматизированная обработка ПДн - обработка персональных данных с помощью средств вычислительной техники.

2.2. Безопасность ПДн - комплекс мер, соответствующих требованиям законодательства в сфере защиты ПДн, направленных на обеспечение защищенности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

2.3. Информационная система ПДн (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

2.4. Материальный носитель информации - материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.

2.5. Обработка ПДн, осуществляемая без использования средств автоматизации - обработка ПДн, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, при которой такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого субъекта ПДн осуществляются при непосредственном участии человека.

2.6. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2.7. Действия (операции) с ПДн:

- сбор - действия (операции), направленные на получение ПДн;

- запись - действия (операции), направленные на фиксирование ПДн на материальных носителях и в ИСПДн;

- систематизация - действия (операции) по группировке ПДн;

- накопление - действия (операции) по сбору ПДн и формированию баз данных ПДн;

- хранение - действия (операции) с ПДн, направленные на создание условий для сохранности ПДн, включая их защиту от несанкционированного доступа до момента, когда ПДн должны быть уничтожены;

- извлечение - действия (операции), направленные на выборку ПДн из других сведений;

- уточнение (обновление, изменение) - действия (операции) с ПДн, совершаемые в целях их актуализации в случае изменения ПДн;

- использование - действия (операции) с ПДн, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц;

- распространение - действия, направленные на раскрытие ПДн неопределенному кругу лиц;

- предоставление - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

- доступ - действия, направленные на предоставление доступа к ПДн;

- обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

- блокирование - действия, направленные на временное прекращение обработки ПДн (за исключением случаев, если обработка ПДн необходима для уточнения ПДн);

- удаление, уничтожение - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

3. Цели обработки персональных данных и субъекты персональных данных

3.1. Обработка персональных данных осуществляется Мостуризмом в следующих целях:

3.1.1. Обеспечение соблюдения федеральных законов и иных нормативных актов Российской Федерации и города Москвы, в том числе регулирующих вопросы ведения бухгалтерского, налогового и воинского учета, кадровой работы при прохождении гражданами государственной гражданской службы города Москвы в Мостуризме, регулирующих вопросы участия граждан в конкурсах на включение в кадровый резерв и замещение вакантных должностей государственной гражданской службы города Москвы в Мостуризме.

3.1.2. Оформление доверенностей.

3.1.3. Проведение закупок в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд".

3.1.4. Заключение и исполнение государственных контрактов с контрагентами.

3.1.5. Обеспечение соблюдения федеральных законов и иных нормативных, правовых актов, регламентирующих правоотношения в сфере рассмотрения обращений физических и юридических лиц,

3.1.6. Обеспечение доступа к информации о деятельности Мостуризма.

3.2. Для целей обработки персональных данных, указанных в пунктах 3.1.1-3.1.6 настоящих Правил, Мостуризм является оператором ПДн, организующим и (или) осуществляющим обработку ПДн, формируемых при осуществлении своих полномочий, а также определяющим цели и содержание обработки таких ПДн, действия (операции), совершаемые с ними.

3.3. Перечень обрабатываемых ПДн для целей, указанных в пунктах 3.1.1-3.1.6 настоящих Правил, закреплен в Перечне персональных данных, обрабатываемых в Мостуризме, утверждаемом приказом Мостуризма. Пересмотр содержания Перечня персональных данных, обрабатываемых в Мостуризме, проводится по мере необходимости.

3.4. При организации обработки ПДн в целях, предусмотренных пунктами 3.1.1-3.1.6 настоящих Правил, Мостуризмом осуществляется обработка ПДн путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения ПДн.

3.5. К субъектам ПДн, чьи данные обрабатываются в Мостуризме, относятся:

- государственные гражданские служащие;

- ближайшие родственники государственных гражданских служащих;

- уволенные государственные гражданские служащие;

- кандидаты, принимающие участие в конкурсе на замещение вакантных должностей гражданской службы Мостуризма;

- представители организаций - участников закупок, проводимых Мостуризмом в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (далее - участники закупок);

- представители контрагентов;

- физические лица, обратившиеся в Мостуризм с жалобой, предложением, заявлением или направившие запрос о предоставлении информации о деятельности Мостуризма, его подведомственных организаций;

- физические лица, предоставившие свои персональные в рамках исполнения Мостуризмом своих полномочий.

4. Основные правила обработки персональных данных

4.1. Обработка ПДн может осуществляться Мостуризмом в случаях, установленных законодательством Российской Федерации в сфере ПДн, в том числе в случаях, когда:

4.1.1. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн в случаях, установленных законодательством Российской Федерации.

4.1.2. Обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Мостуризм функций, полномочий и обязанностей.

4.1.3. Обработка ПДн необходима для осуществления прав и законных интересов Мостуризма или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

4.1.4. Осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе.

4.1.5. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

4.2. В целях обеспечения прав и свобод человека и гражданина при обработке ПДн Мостуризм обязан соблюдать следующие общие требования:

4.2.1. При определении объема и содержания обрабатываемых ПДн Мостуризм должен руководствоваться законодательством Российской Федерации и нормативными правовыми актами города Москвы.

4.2.2. Все ПДн следует получать непосредственно у субъекта ПДн, за исключением случаев, когда право Мостуризма на получение ПДн иным способом установлено законодательством Российской Федерации в сфере ПДн или по поручению оператора ПДн.

4.2.3. Если предоставление ПДн является обязательным в соответствии с федеральным законом, но субъект ПДн отказывается их предоставить, необходимо разъяснить субъекту ПДн юридические последствия такого отказа.

4.2.4. Если ПДн получены не от субъекта ПДн, то до начала обработки таких ПДн необходимо предоставить субъекту ПДн информацию, определенную ч. 3 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон "О персональных данных"), за исключением случаев, предусмотренных ч. 4 ст. 18 требований Закона "О персональных данных".

4.2.5. В случае передачи ПДн третьим лицам обязательным требованием является наличие соответствующего согласия субъекта ПДн, за исключением случаев, установленных законодательством Российской Федерации и нормативными правовыми актами города Москвы.

4.2.6. ПДн не могут быть использованы в целях причинения имущественного и морального вреда субъекту ПДн, ограничения реализации его прав и свобод.

4.3. Доступ к ПДн:

4.3.1. Перечень должностей государственных гражданских служащих Мостуризма, замещение которых предусматривает осуществление обработки персональных данных, утверждается приказом Мостуризма. Государственным гражданским служащим, замещающим должности, не входящие в указанный перечень, доступ к ПДн, обрабатываемым в Мостуризме, запрещен.

4.3.2. Доступ к ПДн, обрабатываемым в Мостуризме, разрешается только в объеме, соответствующем целям их обработки.

4.3.3. До начала обработки ПДн государственные гражданские служащие Мостуризма должны быть ознакомлены с положениями законодательства в сфере персональных данных и правовых актов Мостуризма по вопросам обработки и обеспечения безопасности ПДн и подписывают обязательство о неразглашении и обеспечении безопасности персональных данных.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

4.3.5. Государственные гражданские служащие Мостуризма, осуществляющие обработку ПДн, должны быть проинформированы:

- о факте обработки ими ПДн;

- о категориях обрабатываемых ПДн;

- об особенностях и правилах осуществления такой обработки, установленных законодательством в сфере персональных данных и правовыми актами Мостуризма;

- об ответственности в случае нарушения законодательства в сфере персональных данных.

5. Правила обмена ПДн с третьими лицами

5.1. Мостуризм в ходе своей деятельности может получать ПДн от третьих лиц и передавать ПДн третьим лицам в установленных целях.

5.2. Обмен ПДн может осуществляться в следующих случаях:

- в случае получения или отправки письменного запроса на предоставление ПДн;

- в случае, когда Мостуризм поручает обработку ПДн третьему лицу;

- в случае, когда Мостуризму поручается обработка ПДн;

- в случае, когда между Мостуризмом и третьим лицом заключен договор (соглашение) и ПДн необходимо предоставить для исполнения договора;

- в случае, когда обмен ПДн осуществляется в целях исполнения требований законодательства.

5.3. Запрос на предоставление ПДн:

5.3.1. В случае получения Мостуризмом запроса на предоставление ПДн проверяется законность такого запроса и принимается решение о возможности предоставления ПДн.

5.3.2. Порядок рассмотрения запросов субъектов ПДн и их представителей определен в Правилах рассмотрения запросов субъектов персональных данных и их представителей, утверждаемых приказом Мостуризма.

5.3.3. В случае если Мостуризм направляет запрос на предоставление ПДн, такой запрос должен содержать цель запроса, правовые основания запроса, перечень запрашиваемой информации.

5.3.4. Ответы на письменные запросы третьих лиц в пределах их компетенции и предоставленных полномочий даются в письменной форме и в необходимом объеме.

5.4. Поручение Мостуризмом обработки ПДн третьему лицу:

5.4.1. Мостуризм вправе поручить обработку ПДн третьему лицу в порядке, установленном частью 3 статьи 6 Закона "О персональных данных".

5.4.2. Мостуризм вправе поручить обработку ПДн только с согласия субъекта ПДн.

5.4.3. В случае если Мостуризм поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Мостуризм.

5.5. Получение Мостуризмом поручения оператора на обработку ПДн:

5.5.1. Мостуризму может быть поручена обработка ПДн от другого лица в порядке, установленном частью 3 статьи 6 Закона "О персональных данных".

5.5.2. Мостуризм при осуществлении обработки ПДн по поручению оператора обязан соблюдать принципы и правила обработки ПДн, предусмотренные Законом "О персональных данных".

5.5.3. Мостуризм при осуществлении обработки ПДн по поручению оператора не обязан получать согласие субъекта ПДн на обработку его ПДн.

5.5.4. Мостуризм при осуществлении обработки ПДн по поручению оператора несет ответственность перед оператором.

5.6. Обмен ПДн в рамках договорных отношений:

5.6.1. Договор между Мостуризмом и третьим лицом, в рамках исполнения которого будут предоставляться ПДн, должен содержать обязательство о соблюдении конфиденциальности ПДн.

6. Хранение ПДн

6.1. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

6.2. Сроки хранения ПДн в Мостуризме определяются исходя из целей обработки ПДн и в соответствии с требованиями законодательства Российской Федерации.

6.3. Срок хранения ПДн в электронном виде не должен превышать срок хранения этих же данных на бумажных носителях.

6.4. При хранении ПДн на машинных носителях Мостуризма обеспечивается регулярное резервное копирование информации с целью недопущения потери ПДн при выходе из строя машинных носителей ПДн.

7. Порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований

7.1. ПДн уничтожаются в следующих случаях:

- достижения цели обработки ПДн или в случае утраты необходимости в достижении этих целей (в том числе по истечении установленных сроков хранения);

- отзыва субъектом ПДн согласия на обработку своих ПДн, когда это согласие является обязательным условием обработки ПДн;

- если сохранение ПДн более не требуется для целей обработки ПДн;

- получения от субъекта ПДн или его представителя сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- невозможности устранения допущенных при обработке ПДн нарушений;

- получения соответствующего требования от уполномоченного органа по защите прав субъектов ПДн.

7.2. Лица, осуществляющие обработку ПДн на бумажных и электронных носителях, осуществляют систематический контроль и выделение документов и сведений, содержащих ПДн, с истекшими сроками хранения, подлежащих уничтожению.

7.3. Сроки уничтожения ПДн в случаях, приведенных в п. 7.1 настоящих Правил, определяются ст. 21 Закона "О персональных данных".

7.4. Уничтожение ПДн на бумажных и электронных носителях производится путем, не позволяющим произвести считывание или восстановление ПДн.

7.5. По результатам уничтожения составляется акт уничтожения персональных данных в Мостуризме.

8. Правила обработки ПДн, осуществляемой без использования средств автоматизации

8.1. При неавтоматизированной обработке ПДн на материальных носителях должны выполняться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 N 687.

8.2. При работе с материальными носителями ПДн должны выполняться следующие правила:

8.2.1. Материальные носители хранятся в помещениях Мостуризма, занимаемых структурными подразделениями и государственными гражданскими служащими, в компетенцию которых входит обработка соответствующих персональных данных.

8.2.2. Материальные носители ПДн должны храниться в сейфах или запирающихся шкафах. Постоянное хранение материальных носителей ПДн в ящиках столов, открытых шкафах и других, не предназначенных для этого местах, не допускается.

8.2.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Неконтролируемое пребывание посторонних лиц в помещениях, в которых хранятся материальные носители ПДн, не допускается. На время отсутствия государственных гражданских служащих на рабочем месте помещения должны запираться.

8.2.4. Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

Допускается хранение таких материальных носителей ПДн в одном шкафу на различных полках. При этом материальные носители ПДн должны быть сгруппированы по целям обработки зафиксированных на них ПДн.

8.2.5. За сохранность конкретного материального носителя ПДн отвечает государственный гражданский служащий получивший этот материальный носитель в пользование.

8.2.6. В целях обеспечения сохранности и безопасности материальных носителей ПДн государственным гражданским служащим Мостуризма запрещается:

- разглашать содержимое материальных носителей ПДн;

- передавать материальные носители ПДн лицам, не имеющим права доступа к ним;

- несанкционированно вносить какие-либо изменения в содержимое материальных носителей ПДн;

- использовать материальные носители ПДн, подлежащие уничтожению;

- оставлять материальные носители ПДн на столах и в других легкодоступных местах при отсутствии государственного гражданского служащего на рабочем месте;

- несанкционированно копировать материальные носители ПДн;

- несанкционированно выносить материальные носители ПДн за пределы служебных помещений.

8.2.7. Вывод на печать документов, содержащих ПДн, допускается в связи с исполнением служебных обязанностей, в том числе в целях передачи печатных копий субъектам ПДн либо лицам, допущенным в соответствии с настоящими Правилами к работе с ПДн.

8.2.8. При печати ПДн на материальные носители ПДн запрещается оставлять материальные носители ПДн в принтере после печати.

9. Обеспечение защиты ПДн

9.1. Защита ПДн обеспечивается совокупностью организационных, технических и правовых мероприятий, необходимых для обеспечения уровня защищенности ПДн, установленного законодательством Российской Федерации и внутренними документами Мостуризма. в том числе ограничением доступа к ПДн и в помещения, в которых осуществляется обработка ПДн.

9.2. Защите подлежат:

- документы, содержащие ПДн на бумажных носителях;

- ПДн, содержащиеся на электронных носителях и (или) в информационных системах.

9.3. Лица, осуществляющие обработку ПДн на бумажных и электронных носителях, обеспечивают их защиту от несанкционированного доступа и копирования в соответствии с требованиями законодательства Российской Федерации в сфере ПДн, внутренних документов Мостуризма по вопросам обработки и защиты ПДн.

9.4. Обрабатываемые ПДн подлежат защите от актуальных угроз безопасности информации. Безопасность ПДн при их обработке обеспечивается путем принятия правовых, организационных и технических мер, направленных на защиту ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн.

9.5. Обеспечение безопасности ПДн достигается:

- определением угроз безопасности ПДн при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей ПДн;

- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем персональных данных.

10. Права субъектов ПДн

10.1.1. Субъекты ПДн, данные которых обрабатываются в Мостуризме, имеют право:

- получать у Мостуризма информацию, касающуюся обработки его ПДн;

- осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации и города Москвы;

- требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- обжаловать действия или бездействие Мостуризма в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае, если субъект ПДн считает, что Мостуризм осуществляет обработку его ПДн с нарушением требований Закона "О персональных данных", или иным образом нарушает его права и свободы;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке;

- осуществлять иные действия, предусмотренные законодательством в сфере персональных данных.