Приложение N 1. Правила обработки персональных данных в департаменте по организации проектной деятельности правительства Еврейской автономной области. Приказ Департамента по организации проектной деятельности Правительства Еврейской автономной области от 05.03.2022 N 3 "Об утверждении документации, регламентирующей обработку персональных данных в департаменте по организации проектной деятельности правительства Еврейской автономной области"

Приложение N 1
к приказу
департамента по организации проектной
деятельности правительства
Еврейской автономной области
от 05.03.2022 N 3

Правила
обработки персональных данных в департаменте по организации проектной деятельности правительства Еврейской автономной области

I. Общие положения

1.1. Понятие и основания обработки персональных данных

1.1.1. Настоящие Правила по организации обработки персональных данных в департаменте по организации проектной деятельности правительства Еврейской автономной области (далее - Департамент) (далее - Правила) определяют порядок действий сотрудников департамента в отношении обработки, использования и хранения персональных данных, совершения любых действий (операций) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение, распространение.

1.1.2. Настоящие Правила разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановлений Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.1.3. Департамент по организации проектной деятельности правительства Еврейской автономной области (далее - Департамент) является оператором в отношении обрабатываемых персональных данных.

1.1.4. Обработка персональных данных включает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.1.5. Обработка персональных данных осуществляется:

- на основании согласия субъекта персональных данных на их обработку;

- для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- для заключения и исполнения договора, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных;

- для обработки информации в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

- в иных, прямо предусмотренных федеральным законом, случаях.

1.2. Цели и задачи

1.2.1. Цель настоящих Правил - обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения.

1.2.2. Задачами настоящих Правил являются определение:

- категорий субъектов персональных данных;

- порядка сбора, обработки и хранения персональных данных;

- порядка уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.

1.3. Состав персональных данных

1.3.1. Персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.3.2. Субъектами персональных данных в Департаменте являются государственные гражданские служащие Департамента, состоящие в трудовых отношениях с Департаментом, и члены их семей, граждане, претендующие на замещение вакантных должностей в Департаменте, и члены их семей, граждане, в том числе являющиеся представителями организаций, обратившиеся в департамент в связи с реализацией их права на обращение.

1.3.3. Состав персональных данных, обрабатываемых Департаментом, утверждается начальником Департамента.

1.3.4. Информация о персональных данных может содержаться:

- на бумажных носителях;

- на рабочей станции с установленной СЭД "Дело" в кабинете 129.

1.3.5. В Департаменте используются следующие способы обработки персональных данных:

- без использования средств автоматизации;

- смешанная обработка (с применением объектов вычислительной техники).

II. Порядок сбора и уточнения персональных данных

2.1. Сбор документов, содержащих персональные данные, осуществляется следующим путем:

- копирования представленных оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях).

Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

2.2. Субъект персональных данных свои персональные данные предоставляет в Департамент самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы Департаменту третьими лицами.

2.3. Субъект персональных данных при передаче своих персональных данных принимает решение о предоставлении Департаменту Согласия на обработку персональных данных, согласно приложению 1 к настоящим правилам.

Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем.

Равнозначным содержащему собственноручную подпись субъекта персональных данных, его представителя согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

В случае если согласие на обработку персональных данных дается представителем субъекта персональных данных от его лица, уполномоченными должностными лицами проверяются полномочия представителя (установленные в доверенности либо основанные на иных документах).

Перечень должностных лиц, ответственных за организацию обработки персональных данных, утверждается приказом Департамента.

2.4. При получении персональных данных от субъекта персональных данных (его представителя) на личном приеме уполномоченное должностное лицо обязано:

- разъяснить права, цели и порядок обработки персональных данных;

- предложить Согласие на обработку персональных данных по утвержденной настоящим приказом форме согласно приложению N 1;

- разъяснить последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной.

2.5. Согласие на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество субъекта персональных данных, адрес, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

- наименование и адрес Департамента;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта персональных данных (в случае, если обработка персональных данных поручена Департаментом третьему лицу);

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Департаментом способов обработки персональных данных;

- срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва;

- подпись субъекта персональных данных.

2.6. В случае получения персональных данных от третьих лиц, до начала обработки таких персональных данных, Департамент обязан уведомить об этом субъекта персональных данных по утвержденной настоящим приказом форме, согласно приложению N 2.

2.7. Департамент освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 2.6 настоящих Правил, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных третьим лицом, предоставившим Депратаменту персональные данные;

2) персональные данные получены Департаментом на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

3) персональные данные сделаны субъектом персональных данных общедоступными или получены из общедоступного источника;

4) обработка персональных данных осуществляется для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

2.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Сроки хранения документов, образующихся в процессе деятельности департамента и содержащих персональные данные, устанавливаются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Росархива от 20.12.2019 N 236.

2.9. Хранение персональных данных осуществляется на материальных носителях в металлическом запираемом шкафу кабинета N 129 либо в электронном виде на рабочей станции с установленной СЭД "Дело" в кабинете N 129.

III. Порядок уничтожения персональных данных

3.1. В случае достижения целей обработки персональных данных или в случае утраты необходимости в их достижении уполномоченное должностное лицо обязано:

- незамедлительно прекратить обработку персональных данных;

- уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных.

Персональные данные не уничтожаются (не обезличиваются) в случаях, если:

- договором, соглашением стороной которого, выгодоприобретателем или поручителем является субъект персональных данных, предусмотрен иной порядок обработки п