Приложение 1. Приказ министерства экономики Краснодарского края от 12.07.2021 N 176 "О внесении изменений в приказ министерства экономики Краснодарского края от 30.06.2017 N 87 "О мерах по организации работы с персональными данными в министерстве экономики Краснодарского края" (документ не действует)

Приложение 1
к приказу министерства экономики
Краснодарского края
от 12.07.2021 г. N 176

"Приложение 1

УТВЕРЖДЕНЫ
приказом министерства экономики
Краснодарского края
от 30 июня 2017 г. N 87
(в редакции приказа министерства
экономики Краснодарского края
от 12.07.2021 г. N 176)

Правила
обработки персональных данных в министерстве экономики Краснодарского края

1. Общие положения

Настоящие правила обработки персональных данных в министерстве экономики Краснодарского края (далее - Правила) разработаны для обеспечения безопасности персональных данных при их обработке в информационных системах министерства экономики Краснодарского края (далее - министерство).

Правила устанавливают порядок обработки персональных данных субъектов персональных данных в министерстве и направлены на выявление, предотвращение и профилактику нарушений законодательства Российской Федерации в сфере персональных данных.

Для целей настоящих Правил используются понятия, определенные законодательством Российской Федерации в области персональных данных.

Субъектами персональных данных в министерстве являются:

государственные гражданские служащие министерства;

индивидуальные предприниматели (далее - ИП);

должностные лица (соответствующие понятию, определенному Кодексом Российской Федерации об административных правонарушениях);

физические лица.

Министерство является оператором персональных данных субъектов персональных данных, указанных в настоящих Правилах.

Министерство вправе поручать обработку персональных данных другому лицу, с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом государственного контракта, либо путем принятия министерством соответствующего акта.

2. Цель и содержание обработки персональных данных

Целями обработки персональных данных в министерстве являются:

осуществление и выполнение возложенных на министерство функций, полномочий и обязанностей;

реализация отношений, связанных с прохождением и прекращением государственной гражданской службы.

В министерстве обрабатываются следующие персональные данные:

фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения, а также когда, где и по какой причине);

адрес места жительства (адрес регистрации, фактического проживания);

вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

государственные награды, иные награды и знаки отличия;

гражданство (в том числе прежние гражданства, иные гражданства);

дата рождения;

идентификационный номер налогоплательщика;

информация о классном чине государственной гражданской службы Российской Федерации (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

место рождения;

номер контактного телефона (либо сведения о других способах связи);

номер расчетного счета;

общие суммы налогов;

реквизиты свидетельства государственной регистрации актов гражданского состояния;

реквизиты страхового медицинского полиса обязательного медицинского страхования;

реквизиты страхового свидетельства государственного пенсионного страхования;

сведения о воинском учете и реквизиты документов воинского учета;

сведения о наличии заграничного паспорта (серия, номер, кем и когда выдан);

сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

сведения о наличии или отсутствии судимости;

сведения о допуске к государственной тайне, оформленном за период работы, службы учебы, его форма, номер и дата (если имеется);

сведения о пребывании за границей;

сведения о трудовой деятельности;

сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

сведения об ученой степени;

информация о владении иностранными языками, степень владения (чтение и перевод со словарем, чтение и возможность объясняться, свободное владение);

семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших мужьях (женах);

сумма заработной платы;

фотография;

наименование ИП;

номер расчетного счета;

сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера членов семьи;

сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети "Интернет", на которых государственным гражданским служащим или гражданином, претендующим на замещение должности государственной гражданской службы, размещалась общедоступная информация, а также данные, позволяющие его идентифицировать;

иные сведения, связанные с назначением на должность, прохождением и прекращением государственной гражданской службы, а также осуществлением государственных функций.

3. Сроки обработки и хранения, порядок уничтожения персональных данных

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а в случаях, предусмотренных законодательством Российской Федерации, без такого согласия.

Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Министерство оставляет за собой право не осуществлять свои функции в отношении субъекта персональных данных в случае предоставления неполных или недостоверных персональных данных, а также в случае отказа дать письменное согласие на обработку персональных данных.

Получение персональных данных субъекта персональных данных у третьих лиц возможно только при предварительном уведомлении субъекта персональных данных и с его письменного согласия.

Персональные данные субъектов персональных данных обрабатываются в структурных подразделениях министерства.

Доступ к персональным данным, обрабатываемым в министерстве, осуществляется в соответствии с Правилами доступа в помещения министерства экономики Краснодарского края, в которых ведется обработка персональных данных, хранятся носители персональных данных, а также установлены криптографические средства, предназначенные для защиты персональных данных, в том числе носители ключевой информации, утвержденными приказом министерства.

Уполномоченные лица, допущенные к персональным данным субъектов персональных данных министерства, имеют право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций, в соответствии с должностным регламентом указанных лиц.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.

Персональные данные при такой обработке должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются соответствующим приказом министерства.

Персональные данные подлежат уничтожению в случаях достижения целей или в случае утраты необходимости в достижении этих целей, отзыва согласия субъекта персональных данных на обработку его персональных данных, выявления неправомерной обработки персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.

В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, министерство вносит в них необходимые изменения, а также уведомляет субъекта персональных данных или его представителя о внесенных изменениях.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 дней с даты поступления отзыва согласия субъекта персональных данных на обработку его персональных данных.

Уничтожение персональных данных осуществляется в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Министерство уведомляет об этом субъекта персональных данных или его представителя.

Уничтожение персональных данных осуществляется в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных. Министерство уведомляет об этом субъекта персональных данных или его представителя.

Уничтожение персональных данных на бумажных носителях осуществляет по акту комиссия в составе руководителя и гражданского служащего структурного подразделения, обрабатывавшего персональные данные субъекта персональных данных и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения министерства.

Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:

сжигание;

шредирование (измельчение);

передача на специализированные полигоны (свалки);

химическая обработка.

При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия министерства должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.

Уничтожение полей баз данных министерства, содержащих персональные данные субъекта, осуществляется на основании служебной записки руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.

Уничтожение полей баз данных министерства, содержащих персональные данные субъекта персональных данных, осуществляет по акту комиссия, в состав которой входят лица, ответственные за администрирование автоматизированных систем (администратор информационной безопасности), государственные гражданские служащие структурного подразделения министерства, обрабатывавшего персональные данные субъекта персональных данных и установившего необходимость их уничтожения.

Уничтожение полей баз данных министерства, содержащих персональные данные субъекта персональных данных, достигается путем затирания информации на носителях информации (в том числе и резервных копиях) или путем механического нарушения целостности носителя информации, не позволяющего произвести считывание или восстановление персональных данных.

Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными документами и (или) договорами.

При невозможности осуществления затирания информации на носителях допускается проведение обезличивания путем перезаписи полей баз данных, которые позволяют определить субъекта, данными, исключающими дальнейшее определение субъекта персональных данных.

Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных в министерстве.

Обработка биометрических персональных данных, в соответствии со статьей 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), допускается при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.

Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

4. Передача персональных данных третьим лицам

При обработке персональных данных субъекта персональных данных должны соблюдаться следующие требования:

не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом N 152-ФЗ;

предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности в отношении этих данных.

5. Права субъектов персональных данных

В целях обеспечения своих интересов субъекты персональных данных имеют право:

получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ;

требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона N 152-ФЗ. Субъект персональных данных, при отказе министерства исключить или исправить персональные данные субъекта, имеет право заявлять в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;

требовать от министерства уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них изменениях или исключениях из них;

обжаловать в суде любые неправомерные действия или бездействие министерства при обработке и защите персональных данных субъекта персональных данных.

6. Порядок действий в случае запросов уполномоченного органа по защите прав субъектов персональных данных

В соответствии с частью 4 статьи 20 Федерального закона N 152-ФЗ министерство сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.

Сбор сведений для составления мотивированного ответа на запрос уполномоченного органа по защите прав субъектов персональных данных осуществляет ответственный за организацию обработки персональных данных в министерстве, при необходимости с привлечением гражданских служащих министерства.

7. Защита персональных данных субъекта персональных данных

При обработке персональных данных в министерстве должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности. Защита персональных данных предусматривает ограничение к ним доступа.

Руководитель структурного подразделения министерства, осуществляющего обработку персональных данных:

несет ответственность за организацию защиты персональных данных в своем структурном подразделении;

организует изучение гражданскими служащими министерства правовых актов по защите персональных данных и требует их неукоснительного исполнения;

обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении;

контролирует порядок доступа к персональным данным в соответствии с должностными обязанностями гражданских служащих структурного подразделения министерства.

Гражданские служащие министерства, допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных.

8. Обязанности лиц, допущенных к обработке персональных данных

Лица, допущенные к работе с персональными данными, обязаны:

сохранять конфиденциальность персональных данных;

обеспечивать сохранность закрепленных за ними носителей персональных данных;

контролировать срок истечения действия согласий субъектов персональных данных на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки

персональных данных;

докладывать своему непосредственному руководителю структурного подразделения обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.

9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных субъекта персональных данных несут ответственность в соответствии с законодательством Российской Федерации.

Заместитель начальника сводно-аналитического отдела управления сводного планирования и бюджетного учета

Е.А. Белая