Приложение. Правила обработки персональных данных в Департаменте цифрового развития города Севастополя. Приказ Департамента цифрового развития г. Севастополя от 01.12.2020 N 4 "Об утверждении правил обработки персональных данных в Департаменте цифрового развития города Севастополя"

Приложение
Утверждены
приказом Департамента
цифрового развития
города Севастополя
от 01.12.2020 N 4

Правила обработки персональных данных в Департаменте цифрового развития города Севастополя

1. Основные термины и определения, применяемые в настоящих Правилах

1.1. Персональные данные (далее - ПДн) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн).

1.2. Биометрические ПДн - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

1.3. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

1.4. Субъекты ПДн - лица, предоставляющие свои ПДн Оператору.

1.5. Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

1.6. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение ПДн.

1.7. Использование ПДн - действия (операции) с ПДн, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.

1.8. Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

1.9. Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

1.10. Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

1.11. Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются бумажные и (или) машинные носители ПДн.

1.12. Общедоступные ПДн - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование о соблюдении конфиденциальности. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, предоставленные субъектом. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников ПДн по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.

1.13. Конфиденциальность ПДн - обязательное для соблюдения требование не допускать распространение ПДн без согласия субъекта ПДн или наличия иного законного основания.

Обеспечения конфиденциальности ПДн не требуется:

- в случае обезличивания ПДн;

- в отношении общедоступных ПДн.

1.14. Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

2. Общие положения

2.1. Настоящие правила обработки ПДн в Департаменте цифрового развития города Севастополя (далее - правила) разработаны в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 152-ФЗ "О персональных данных", Федеральным законом от 21.01.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления", Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской федерации", Законом города Севастополя от 03.06.2014 N 23-ЗC "О государственной гражданской службе города Севастополя" иными нормативными правовыми актами, регулирующими отношения в сфере обработки и защиты ПДн.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату Федерального закона N 8-ФЗ следует читать как "от 9 февраля 2009 г."

2.2. Настоящие Правила устанавливают порядок сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространение, предоставление, доступ), обезличивания, блокирования, удаления и уничтожения информации, отнесенной Департаментом цифрового развития города Севастополя (далее - Департамент) к обрабатываемым ПДн.

2.3. В Департаменте осуществляется смешанная обработка ПДн.

2.4. Целью настоящих Правил является организация защиты ПДн в Департаменте от несанкционированного доступа, разглашения, неправомерного использования или утраты.

2.5. Государственные гражданские служащие Департамента, выполняющие в соответствии со своими должностными обязанностями (регламентами) обработку ПДн, должны быть ознакомлены с настоящими Правилами под роспись.

2.6. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Предоставление ПДн субъекта ПДн третьим лицам без письменного согласия субъекта не допускается, за исключением случаев указанных в федеральном законодательстве Российской Федерации.

2.7. ПДн, обрабатываемые в Департаменте, относятся к категории конфиденциальной информации, охраняемой законом Российской Федерации.

2.8. Государственные гражданские служащие Департамента, в обязанности которых входит обработка ПДн, должны обеспечить каждому субъекту ПДн возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено федеральным законом.

2.9. Права и свободы субъекта ПДн не могут быть ограничены по мотивам, связанным с использованием различных способов обработки ПДн или обозначения принадлежности ПДн, содержащихся в Департаменте, конкретному субъекту ПДн. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности ПДн, содержащихся в Департаменте, конкретному субъекту ПДн.

2.10. Настоящие Правила начинают действовать с момента их утверждения, и действует до замены их новыми Правилами. Все изменения в настоящие Правила вносятся приказом руководителя Департамента.

2.11. Настоящие Правила являются документом, определяющим политику Департамента в отношении обработки ПДн.

3. Цели обработки персональных данных

3.1. Обработка ПДн осуществляется в Департаменте в следующих целях:

- выполнения требований трудового и налогового законодательства Российской Федерации;

- ведения бухгалтерского учета;

- исполнения условий договоров гражданско-правового характера;

- ведения кадрового учета;

- иных целей.

4. Принципы обработки персональных данных

4.1. Обработка ПДн должна осуществляться на законной и справедливой основе.

4.2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

4.3. Не допускается объединение баз данных, содержащих ПДн обработка которых осуществляется в целях, несовместимых между собой.

4.4. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

4.5. При обработке ПДн должна быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Государственные гражданские служащие Департамента, обрабатывающие ПДн, должны принимать необходимые меры, либо обеспечивать их принятие по уточнению неполных или неточных ПДн.

4.6. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Категории субъектов, персональные данные которых Обрабатываются

5.1. В соответствии с целями обработки ПДн, указанными в пункте 3 настоящих правил, в Департаменте осуществляется обработка ПДн следующих категорий субъектов ПДн:

- государственные гражданские служащие;

- близкие родственники государственных гражданских служащих, ПДн которых необходимы в целях выполнения требований федерального законодательства Российской Федерации;

- соискатели (кандидаты) на замещение вакантной должности государственной гражданской службы (на включение в кадровый резерв для замещения должности государственной гражданской службы);

- физические лица, с которыми заключен договор гражданско-правового характера;

- иные физические лица, в отношении которых в Департаменте имеется информация, относящаяся к обрабатываемым в Департаменте ПДн.

6. Получение, обработка и хранение персональных данных

6.1. Источником получения ПДн являются:

- паспорт или иной документ, удостоверяющий личность;

- трудовая книжка;

- страховое свидетельство обязательного пенсионного страхования;

- свидетельство о постановке на учет в налоговом органе, содержащее сведения об идентификационном номере налогоплательщика;

- документы воинского учета, содержащие сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;

- документы об образовании, о квалификации или о наличии специальных знаний или специальной подготовки, содержащие сведения об образовании, профессии;

- иные документы и сведения, предоставляемые субъектом ПДн.

6.2. Департамент имеет право проверять достоверность предоставленных ему сведений в случаях и порядке, предусмотренных действующим законодательством Российской Федерации.

6.3. Перечень обрабатываемых ПДн, утверждается приказом руководителя Департамента.

6.4. Все ПДн субъекта должны быть получены непосредственно у субъекта ПДн либо его представителя в любой, позволяющей подтвердить факт его получения форме, если иное не установлено действующим законодательством. Полномочия представителя субъекта ПДн на дачу согласия от имени субъекта ПДн могут быть проверены в случаях, предусмотренных действующим законодательством.

6.5. Если предоставление ПДн является обязательным в соответствии с федеральным законодательством, государственные гражданские служащие Департамента обязаны довести под роспись до субъекта ПДн разъяснение юридических последствий отказа предоставления его ПДн.

6.6. Если ПДн получены не от субъекта ПДн, государственные гражданские служащие ГУИС до начала обработки таких ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации, обязаны предоставить субъекту ПДн следующую информацию:

- цель обработки ПДн и ее правовое основание;

- предполагаемые пользователи ПДн;

- права субъекта ПДн установленные Федеральным законом от 27.06.2006 N 152-ФЗ "О персональных данных";

- источник получения ПДн.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату Федерального закона N 152-ФЗ следует читать как "от 27 июля 2006 г."

6.7. Субъекту ПДн не предоставляются указанные в п. 6.6. сведения в случаях:

- если субъект ПДн уведомлен об осуществлении обработки его ПДн Департаментом;

- если ПДн получены Департаментом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;

- если ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

- если предоставление субъекту ПДн сведений нарушает права и законные интересы третьих лиц.

6.8. Обработка ПДн должна осуществляться только с согласия в письменной форме субъекта ПДн, если иное не установлено действующим законодательством. Равнозначным, содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью субъекта ПДн.

6.9. Согласие на обработку ПДн может быть отозвано субъектом ПДн.

6.10. В случае отзыва субъектом ПДн согласия на обработку ПДн, Департамент вправе продолжить обработку персональных данных без согласия субъекта ПДн в случаях, предусмотренных пунктом 2 статьи 9 Федерального закона от 26.07.2006 N 152-ФЗ "О персональных данных".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату Федерального закона N 152-ФЗ следует читать как "от 27 июля 2006 г."

6.11. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн, в порядке, установленном действующим законодательством.

6.12. В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

6.13. Обработка ПДн может быть передана другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия государственным органом соответствующего акта (далее - поручение Департамента). Лицо, осуществляющее обработку ПДн по поручению Департамента, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом от 26.07.2006 N 152-ФЗ "О персональных данных". Департаментом должен быть определен перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должны быть установлены обязанности такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату Федерального закона N 152-ФЗ следует читать как "от 27 июля 2006 г."

6.14. Лицо, осуществляющее обработку ПДн по поручению Департамента, не обязано получать согласие субъекта ПДн на обработку его ПДн. В случае, если Департамент поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Департамент. Лицо, осуществляющее обработку ПДн по поручению Департамента, несет ответственность перед Департаментом.

6.15. Обработка ПДн, осуществляемая без использования средств автоматизации производиться на основании "Инструкции по обработке персональных данных без использования средств автоматизации в Департаменте цифрового развития города Севастополя", утвержденной приказом руководителем Департамента.

6.16 Обработка ПДн, осуществляемая без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение ПДн (бумажных и машинных носителей), обработка которых осуществляется в различных целях.

6.17. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним, хранение материальных носителей с ПДн обрабатываемыми в Департаменте производиться в помещениях, утвержденных в "Перечне помещений в которых хранятся материальные носители, содержащие персональные данные, обрабатываемые в Департаменте" (далее - перечень Помещений для хранения ПДн). Перечень помещений для хранения ПДн утверждается приказом руководителя Департамента.

6.18. Доступ в помещения, в которых содержаться материальные носители, содержащие ПДн, а так же их охрана осуществляется на основании "Инструкции о порядке доступа и охраны помещений, содержащих материальные носители с персональными данными, обрабатываемыми в Департаменте цифрового развития города Севастополя", утвержденной приказом Департамента.

6.19. Лица, осуществляющие обработку, либо имеющие доступ к ПДн, обрабатываемым в Департаменте, перечислены в "Перечне государственных гражданских служащих Департамента, которые осуществляют обработку либо имеют доступ к персональным данным".

6.20. "Перечень должностей государственных гражданских служащих Департамента, замещение которых предусматривает осуществление обработки персональных данных либо доступа к персональным данным", уполномоченных на получение, обработку, хранение, передачу материальных носителей с ПДн, обрабатываемыми Департаментом, утверждается приказом Департамента.

7. Биометрические персональные данные

7.1. Решение об отработке биометрических ПДн принимает руководитель Департамента, о чем издается соответствующий локальный нормативный правовой акт.

7.2. Биометрические ПДн используются Оператором для установления личности субъекта ПДн, могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн.

7.3. Обработка биометрических ПДн может осуществляться без согласия субъекта ПДн в случаях, указанных в части 2 статьи 11 федерального закона от 26.07.2006 N 152-ФЗ "О персональных данных".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату Федерального закона N 152-ФЗ следует читать как "от 27 июля 2006 г."

8. Специальные категории персональных данных

8.1. Решение об отработке специальных категории ПДн принимает руководитель Департамента, о чем издается соответствующий локальный нормативный правовой акт. '

8.2. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случаев, предусмотренных в частью 2 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

8.2. Специальные категории ПДн могут обрабатываться только после получения у субъекта ПДн письменного согласия на их обработку.

9. Обезличивание персональных данных

9.1. Решение о необходимости обезличивания ПДн принимает руководитель Департамента, о чем издается соответствующий локальный нормативный правовой акт.

9.2. Обезличивание ПДн проводиться при помощи действий, в результате которых становиться невозможным, без использования дополнительной информации, определить принадлежность ПДн конкретному субъекту ПДн.

9.3. Обезличивание ПДн в Департаменте осуществляется на основании "Правил обезличивания и работы с обезличенными персональными данными, обрабатываемыми в Департаменте", утвержденных приказом руководителя Департамента.

10. Обработка запросов субъектов персональных данных, их законных представителей или уполномоченного органа по защите прав субъектов персональных данных в Департаменте.

10.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных". Субъект ПДн вправе требовать уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату Федерального закона N 152-ФЗ следует читать как "от 27 июля 2006 г."

10.2. Государственные гражданские служащие Департамента предоставляют по запросу субъекта ПДн или его законного представителя следующую информацию:

- подтверждение факта обработки ПДн Департамента;

- правовые основания и цели обработки ПДн;

- применяемые Департаментом способы обработки ПДн;

- сведения о лицах (за исключением государственных гражданских служащих Департамента), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Департаментом или на основании федерального закона;

- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки ПДн, в том числе сроки их хранения;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Департамента, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом от 26.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату Федерального закона N 152-ФЗ следует читать как "от 27 июля 2006 г."

10.3. Обработка запросов субъектов ПДн, их законных представителей или уполномоченного органа по защите прав субъектов ПДн в Департаменте осуществляется на основании "Регламента обработки запросов субъектов

персональных данных, их законных представителей или уполномоченного органа по защите прав субъектов персональных данных в Департаменте цифрового развития города Севастополя", утвержденного руководителем Департамента.

11. Прекращение обработки и уничтожение персональных данных

11.1. При достижении целей обработки ПДн дальнейшая обработка прекращается, а ПДн субъекта уничтожаются в срок, не превышающий тридцати дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн, или федеральными законами.

11.2. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в частях 3 - 5 статьи 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", ПДн субъекта блокируются и в шести месячный срок с момента блокирования уничтожаются.

11.3. Уничтожение ПДн, обрабатываемых в Департаменте осуществляется на основании "Порядка уничтожения персональных данных, обрабатываемых в Департаменте цифрового развития города Севастополя", утвержденном приказом Департамента.

12. Права субъектов персональных данных

12.1. Права Субъектов ПДн изложены в главе 3 Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату Федерального закона N 152-ФЗ следует читать как "от 27 июля 2006 г."

12.2. Если субъект ПДн считает, что Департамент осуществляет обработку его ПДн с нарушением требований действующего законодательства Российской Федерации, иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Департамента в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

12.3. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

13. Доступ к персональным данным

13.1. Доступ со стороны третьих лиц к ПДн осуществляется с письменного согласия субъекта ПДн, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и в иных случаях, установленных законодательством.

13.2. Доступ к ПДн государственных гражданских служащих Департамента могут иметь органы государственной власти в порядке и в случаях, предусмотренных законодательством Российской Федерации.

14. Защита персональных данных

14.1. При обработке ПДн необходимо принимать правовые, организационные и технические меры для обеспечения. их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

15. Ответственность за нарушение требований законодательства о персональных данных

15.1. Лица, виновные в нарушении требований законодательства о ПДн, несут предусмотренную законом ответственность.

15.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных законом, а также требований к защите ПДн, установленных законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.