Приложение N 1. Правила обработки персональных данных в департаменте по организации проектной деятельности правительства Еврейской автономной области. Приказ Департамента по организации проектной деятельности Правительства Еврейской автономной области от 05.03.2022 N 3 "Об утверждении документации, регламентирующей обработку персональных данных в департаменте по организации проектной деятельности правительства Еврейской автономной области"

Приложение N 1
к приказу
департамента по организации проектной
деятельности правительства
Еврейской автономной области
от 05.03.2022 N 3

Правила
обработки персональных данных в департаменте по организации проектной деятельности правительства Еврейской автономной области

I. Общие положения

1.1. Понятие и основания обработки персональных данных

1.1.1. Настоящие Правила по организации обработки персональных данных в департаменте по организации проектной деятельности правительства Еврейской автономной области (далее - Департамент) (далее - Правила) определяют порядок действий сотрудников департамента в отношении обработки, использования и хранения персональных данных, совершения любых действий (операций) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение, распространение.

1.1.2. Настоящие Правила разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановлений Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.1.3. Департамент по организации проектной деятельности правительства Еврейской автономной области (далее - Департамент) является оператором в отношении обрабатываемых персональных данных.

1.1.4. Обработка персональных данных включает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.1.5. Обработка персональных данных осуществляется:

- на основании согласия субъекта персональных данных на их обработку;

- для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- для заключения и исполнения договора, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных;

- для обработки информации в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

- в иных, прямо предусмотренных федеральным законом, случаях.

1.2. Цели и задачи

1.2.1. Цель настоящих Правил - обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения.

1.2.2. Задачами настоящих Правил являются определение:

- категорий субъектов персональных данных;

- порядка сбора, обработки и хранения персональных данных;

- порядка уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.

1.3. Состав персональных данных

1.3.1. Персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.3.2. Субъектами персональных данных в Департаменте являются государственные гражданские служащие Департамента, состоящие в трудовых отношениях с Департаментом, и члены их семей, граждане, претендующие на замещение вакантных должностей в Департаменте, и члены их семей, граждане, в том числе являющиеся представителями организаций, обратившиеся в департамент в связи с реализацией их права на обращение.

1.3.3. Состав персональных данных, обрабатываемых Департаментом, утверждается начальником Департамента.

1.3.4. Информация о персональных данных может содержаться:

- на бумажных носителях;

- на рабочей станции с установленной СЭД "Дело" в кабинете 129.

1.3.5. В Департаменте используются следующие способы обработки персональных данных:

- без использования средств автоматизации;

- смешанная обработка (с применением объектов вычислительной техники).

II. Порядок сбора и уточнения персональных данных

2.1. Сбор документов, содержащих персональные данные, осуществляется следующим путем:

- копирования представленных оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях).

Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

2.2. Субъект персональных данных свои персональные данные предоставляет в Департамент самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы Департаменту третьими лицами.

2.3. Субъект персональных данных при передаче своих персональных данных принимает решение о предоставлении Департаменту Согласия на обработку персональных данных, согласно приложению 1 к настоящим правилам.

Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем.

Равнозначным содержащему собственноручную подпись субъекта персональных данных, его представителя согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

В случае если согласие на обработку персональных данных дается представителем субъекта персональных данных от его лица, уполномоченными должностными лицами проверяются полномочия представителя (установленные в доверенности либо основанные на иных документах).

Перечень должностных лиц, ответственных за организацию обработки персональных данных, утверждается приказом Департамента.

2.4. При получении персональных данных от субъекта персональных данных (его представителя) на личном приеме уполномоченное должностное лицо обязано:

- разъяснить права, цели и порядок обработки персональных данных;

- предложить Согласие на обработку персональных данных по утвержденной настоящим приказом форме согласно приложению N 1;

- разъяснить последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной.

2.5. Согласие на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество субъекта персональных данных, адрес, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

- наименование и адрес Департамента;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта персональных данных (в случае, если обработка персональных данных поручена Департаментом третьему лицу);

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Департаментом способов обработки персональных данных;

- срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва;

- подпись субъекта персональных данных.

2.6. В случае получения персональных данных от третьих лиц, до начала обработки таких персональных данных, Департамент обязан уведомить об этом субъекта персональных данных по утвержденной настоящим приказом форме, согласно приложению N 2.

2.7. Департамент освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 2.6 настоящих Правил, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных третьим лицом, предоставившим Депратаменту персональные данные;

2) персональные данные получены Департаментом на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

3) персональные данные сделаны субъектом персональных данных общедоступными или получены из общедоступного источника;

4) обработка персональных данных осуществляется для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

2.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Сроки хранения документов, образующихся в процессе деятельности департамента и содержащих персональные данные, устанавливаются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Росархива от 20.12.2019 N 236.

2.9. Хранение персональных данных осуществляется на материальных носителях в металлическом запираемом шкафу кабинета N 129 либо в электронном виде на рабочей станции с установленной СЭД "Дело" в кабинете N 129.

III. Порядок уничтожения персональных данных

3.1. В случае достижения целей обработки персональных данных или в случае утраты необходимости в их достижении уполномоченное должностное лицо обязано:

- незамедлительно прекратить обработку персональных данных;

- уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных.

Персональные данные не уничтожаются (не обезличиваются) в случаях, если:

- договором, соглашением стороной которого, выгодоприобретателем или поручителем является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;

- законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;

- в иных случаях, прямо предусмотренных законодательством.

3.2. Обезличивание или уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (закрашиванием, вырезанием и т.д.).

3.3. В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными уполномоченное должностное лицо осуществляет немедленное блокирование указанных персональных данных и в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения.

В случае подтверждения факта недостоверности персональных данных уполномоченное должностное лицо уточняет персональные данные и снимает с них блокирование на основании документов, представленных:

- субъектом персональных данных (его законным представителем);

- уполномоченным органом по защите прав субъектов персональных данных;

- иными лицами.

3.4. В случае невозможности устранения допущенных нарушений уполномоченное должностное лицо в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченное должностное лицо уведомляет субъекта персональных данных (его законного представителя) и (или) уполномоченный орган по защите прав субъектов персональных данных.

3.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных уполномоченное должностное лицо обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством, договором или соглашением между Департаментом и субъектом персональных данных. Об уничтожении персональных данных уполномоченное должностное лицо уведомляет субъекта персональных данных (его законного представителя).

3.6. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не принадлежащих Департаменту, производится на основании Акта уничтожения персональных данных (конфиденциальной информации).

IV. Ответственность

Пункты настоящих Правил обязательны для исполнения сотрудниками Департамента, в обязанности которых входит обработка и защита персональных данных.

Ознакомление сотрудников Департамента с настоящими Правилами организует ответственный за обработку персональных данных.

Все сотрудники Департамента, должностные обязанности которых подразумевают возможность ознакомления с ПДн, при приеме на работу обязаны подписывать Обязательство о неразглашении персональных данных, ставших ему известными в связи с исполнением должностных обязанностей.

Обязанность по исполнению требований по нераспространению сведений, содержащих персональные данные, сохраняется за бывшими сотрудниками Департамента в течение всего срока действия конфиденциальности сведений.

На руководителей структурных подразделений Департамента, где осуществляется обработка персональных данных, возлагается:

- персональная ответственность за организацию работы с информацией, содержащей персональные данные в Департаменте;

- принятие мер по предотвращению разглашения и утечки сведений, содержащих персональные данные;

- контроль за выполнением правил обращения с документами, содержащими персональные данные.

- контроль за соблюдением установленного порядка копирования документов, содержащих персональные данные; их учетом, хранением и использованием;

- контроль за соблюдением правил рассылки документов, содержащих персональные данные;

- обеспечение учета сейфов, металлических шкафов, специальных хранилищ и помещений (а также ключей к ним), в которых осуществляется хранение и работа с документами, содержащими персональные данные.

Сотрудники Департамента, в обязанности которых входит обработка и защита персональных данных, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены к ответственности в соответствии с действующим законодательством Российской Федерации и административно-правовыми нормами, установленными в Департаменте.

V. Заключительные положения

Иные права, обязанности действия сотрудников Департамента, в служебные обязанности которых входит обработка персональных данных в Департаменте, определяются должностными регламентами.

Настоящие Правила доводятся до всех сотрудников Департамента под подпись при приеме на работу.