Приложение N 1. Правила обработки персональных данных в управлении административно-технического контроля Калужской области. Приказ Управления административно-технического контроля Калужской области от 06.04.2022 N 76-22 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами" (документ не действует)

Приложение N 1
к Приказу
управления
административно-технического
контроля Калужской области
от 6.04.2022 г. N 76-22

Правила
обработки персональных данных в управлении административно-технического контроля Калужской области

1. Общие положения

1.1. Правила обработки персональных данных в управлении административно-технического контроля Калужской области (далее - Правила, управление) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Правила разработаны в соответствии с:

1) Трудовым кодексом Российской Федерации;

2)Федеральным законом "Об информации, информационных технологиях и о защите информации";

3) Федеральным законом "О персональных данных" (далее - федеральный закон);

4) Федеральным законом "О системе государственной службы Российской Федерации";

5) Федеральным законом "О государственной гражданской службе Российской Федерации";

6) Федеральным законом "О противодействии коррупции";

7) Федеральным законом "Об организации предоставления государственных и муниципальных услуг";

8) Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации";

9) Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (в ред. Указов Президента РФ от 23.10.2008 N 1517, от 01.07.2014 N 483, от 23.07.2019 N 353);

10) Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

11) Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (в ред. Постановлений Правительства РФ от 20.07.2013 N 607, от 06.09.2014 N 911, от 15.04.2019 N 454);

12) Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.3. В рамках настоящих Правил оператором персональных данных является управление административно-технического контроля Калужской области.

1.4. Управление при осуществлении обработки персональных данных берет на себя обязательство не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.5. Управление не размещает персональные данные субъекта персональных данных в общедоступных местах, источниках, в том числе на своей официальной странице в сети "Интернет" без его предварительного согласия.

1.6. Управлением не осуществляется трансграничная передача персональных данных.

1.7. В связи с исполнением служебных обязанностей право доступа к персональным данным имеют государственные служащие и работники в соответствии с перечнем должностей государственных гражданских служащих и должностей работников, замещающих должности, не являющиеся должностями государственной гражданской службы управления административно-технического контроля Калужской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение N 7).

1.8. Обработка персональных данных в управлении осуществляется путем смешанной обработки персональных данных (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение) с использованием средств автоматизации и без их использования с передачей по внутренней сети и сети Интернет.

1.9. Обработка персональных данных в управлении осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.

2. Основные понятия

2.1. В Правилах используются основные понятия, определенные Федеральным законом "О персональных данных".

2.2. Под машинными носителями персональных данных в целях применения настоящих Правил понимаются предметы, изготовленные из материалов с определенными физическими свойствами, которые могут быть использованы для записи и хранения информации и обеспечивают совместимость с устройствами записи/считывания данных.

3. Мероприятия, направленные на обеспечение безопасности персональных данных, выявление и предотвращение нарушений законодательства Российской Федерации при обработке персональных данных

Обеспечение безопасности персональных данных при их обработке в управлении достигается применением совокупности технических и организационных мер.

3.1. Технические меры обеспечения безопасности персональных данных:

3.1.1. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн);

3.1.2. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

3.1.3. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

3.1.4. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

3.2. Организационные меры обеспечения персональных данных:

3.2.1. Хранение персональных данных (документов, содержащих персональные данные, а также других материальных носителей персональных данных) в специально оборудованных для хранения помещениях, шкафах или сейфах, запираемых на ключ.

3.2.2. Внесение требований об обеспечении конфиденциальности персональных данных в заключаемые договорные взаимоотношения, в рамках которых выполняется передача персональных данных третьей стороне.

3.2.3. Соблюдение установленного порядка получения и передачи (распространения) персональных данных.

3.2.4. Соблюдение порядка доступа к обработке персональных данных, в частности.

обязательное ознакомление сотрудников управления, допущенных к обработке персональных данных, с нормативными правовыми актами Российской Федерации, Калужской области, управления, принятыми по вопросам обработки и защиты персональных данных.

журнал ознакомления сотрудников управления с нормативными правовыми актами в сфере обработки и защиты персональных данных (приложение N 8 к Правилам) ведется лицом, ответственным за организацию обработки персональных данных в управлении;

допуск сотрудников управления к обработке персональных данных при условии подписания ими обязательства о неразглашении информации, содержащей персональные данные;

оформление обязательства о неразглашении информации в письменной форме (приложение N 9 к Правилам) (оформляется сотрудником кадровой службы при приеме работника на работу либо при изменении должностных обязанностей);

оформление обязательства о прекращении обработки персональных данных в случае расторжения служебного контракта (трудового договора) (приложение N 10 к Правилам);

осуществление обработки персональных данных с использованием ИСПДн после уведомления и получения разрешения на обработку персональных данных должностного лица, ответственного за организацию обработки персональных данных в ИСПДн. Уведомление осуществляется путем подачи заявки от руководителя структурного подразделения, в котором предполагается обработка персональных данных с использованием технических средств. В заявке указываются: фамилия, имя, отчество сотрудника, который будет обрабатывать персональные данные с использованием технических средств или которому требуется доступ к ИСПДн; должность; инвентарный номер и местоположение персонального компьютера; требуемые информационные ресурсы;

регламентация действий должностного лица, ответственного за организацию обработки персональных данных в управлении, лица, ответственного за обеспечение безопасности персональных данных в ИСПДн, работников, отвечающих за соблюдение требований безопасности при работе в ИСПДн в структурных подразделениях (далее - администраторы), а также работников, осуществляющих обработку персональных данных в ИСПДн при выполнении работ в пределах своих функциональных обязанностей (далее - пользователи) (приложения к приказу N 9, 10, 11, 12 соответственно).

3.2.5. Назначение лица, ответственного за организацию обработки персональных данных в управлении, лица, ответственного за обеспечение безопасности при работе персональных данных в информационных системах персональных данных в управлении (далее - ИСПДн), ответственных в структурных подразделениях управления за соблюдением установленных требований безопасности при работе в конкретной ИСПДн.

3.2.6. Соблюдение установленных требований и исполнение возложенных обязанностей при обработке персональных данных.

3.2.7. Соблюдение порядка пропуска лиц, не являющихся работниками управления, в здание, в котором расположены помещения управления (инструкция о пропускном режиме в административном здании по адресу: г. Калуга, ул. Плеханова, д. 45).

3.2.8. Ведение журнала учета машинных носителей персональных данных (приложение N 11 к Правилам).

3.2.9. Учет применяемых средств защиты информации, в частности:

обязательность ведения учета применяемых средств защиты информации в журнале учета сертифицированных средств защиты информации, эксплуатационной и технической документации к ним (приложение N 13 к Правилам) и в журнале учета средств криптографической защиты информации, эксплуатационной и технической документации к ним (приложение N 14 к Правилам);

ведение учета применяемых средств защиты информации осуществляется должностным лицом, ответственным за обеспечение безопасности персональных данных в ИСПДн.

3.2.10. Выявление и предотвращение фактов нарушений законодательства Российской Федерации в области персональных данных, в частности:

определение для управления содержания обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

учет работы с персональными данными посредством внесения информации в сводные таблицы, прилагаемые к настоящим Правилам, отражающие информацию об обработке персональных данных без использования средств автоматизации или об обработке персональных данных в ИСПДн;

предоставление по запросу лица, ответственного за организацию обработки персональных данных в управлении, информации об обработке персональных данных в структурных подразделениях. О произошедших изменениях, касающихся содержания персональных данных и (или) категорий субъектов персональных данных, обрабатываемых как с использованием ИСПДн, так и без использования средств автоматизации, руководители структурных подразделений сообщают лицу, ответственному за организацию обработки персональных данных в управлении;

проведение внутреннего контроля в порядке, установленном настоящим Приказом (приложение N 3 к приказу), за соответствием обработки персональных данных в управлении требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными нормативными актами управления.

Лицо, ответственное за организацию обработки персональных данных в управлении, а также лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн, либо уполномоченный ими сотрудник отдела организационно-правового и кадрового обеспечения вправе проводить проверку в любом структурном подразделении управления.

4. Содержание обрабатываемых персональных данных

Содержание, объем и иные характеристики обрабатываемых персональных данных не должны превышать заявленных целей обработки персональных данных.

5. Цели и порядок обработки персональных данных

5.1. Обработка персональных данных в управлении осуществляется в целях реализации функций и осуществления полномочий, возложенных на управление.

5.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.3. Персональные данные государственных гражданских служащих управления, работников, состоящих в трудовых отношениях с управлением, граждан, претендующих на замещение должностей государственной гражданской службы в управлении (далее - работники), обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия работникам в прохождении государственной службы, выполнении работы, в целях формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения работниками должностных обязанностей, обеспечения личной безопасности работников и членов их семьи, обеспечения работникам установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

5.4. Обработка персональных данных работников, а также претендентов осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.3 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона и положениями Федерального закона "О системе государственной службы Российской Федерации", Федерального закона "О государственной гражданской службе Российской Федерации", Федерального закона "О противодействии коррупции", Трудовым кодексом Российской Федерации.

5.5. Обработка специальных категорий персональных данных работников, а также претендентов осуществляется без согласия указанных лиц в рамках целей, определенных п. 5.3 настоящих Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона и положениями Трудового кодекса Российской Федерации.

5.6. Обработка персональных данных работников, а также претендентов осуществляется при условии получения согласия указанных лиц в следующих случаях:

при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе;

при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

5.7. Обработка персональных данных проводится при наличии письменного согласия субъекта персональных данных, включающего: перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие; общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных; способ его отзыва, если иное не установлено федеральным законом.

Письменное согласие на обработку персональных данных или на получение персональных данных у третьей стороны оформляется согласно установленной форме (приложения N 1, 2 к Правилам соответственно).

Обязанность по получению от субъекта персональных данных письменного согласия возлагается на сотрудника управления, намеревающегося осуществлять обработку персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Письменное согласие субъекта на обработку персональных данных получает сотрудник отдела организационно-правового и кадрового обеспечения.

5.8. Обработка персональных данных работников, а также претендентов осуществляется отделом организационно-правового и кадрового обеспечения управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников, а также претендентов осуществляется путем:

получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в отдел организационно-правового и кадрового обеспечения управления);

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в информационные системы управления.

5.10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от работников, а также претендентов.

5.11. В случае возникновения необходимости получения персональных данных работников у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

5.12. Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, не предусмотренные Перечнем персональных данных, обрабатываемых в управлении, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

5.13. Сотрудник отдела организационно-правового и кадрового обеспечения, осуществляющий сбор (получение) персональных данных непосредственно от работников, а также претендентов, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

Документальное оформление по установленной форме заявления об отказе субъекта персональных данных предоставить свои персональные данные (приложение N 6 к Правилам), а также документальное оформление разъяснения субъекту персональных данных юридических последствий отказа в предоставлении персональных данных, если их предоставление является обязательным в соответствии с федеральным законом (приложение N 7 к Правилам).

5.14. Передача персональных данных осуществляется при наличии письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне (приложение N 3 к Правилам), за исключением случаев, предусмотренных Федеральным законом "О персональных данных".

В случае необходимости передачи персональных данных субъекта третьему лицу от субъекта персональных данных сотрудником отдела организационно-правового и кадрового обеспечения получается согласие на передачу третьему лицу конкретных персональных данных с указанием цели их получения третьим лицом, а также согласие на обработку третьим лицом переданных персональных данных.

Обязанность получения письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне возлагается на сотрудника управления, намеревающегося осуществлять передачу персональных данных третьей стороне. Факт передачи персональных данных третьей стороне должен фиксироваться в журнале учета передачи персональных данных управления (приложение N 4 к Правилам).

6. Цели, условия и порядок обработки персональных данных субъектов в связи с исполнением государственных функций

6.1. В управлении обработка персональных данных физических лиц осуществляется в целях исполнения государственных функций и полномочий.

6.2. Персональные данные граждан, обратившихся в управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

6.3. Обработка персональных данных, необходимых в связи с исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона, Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими исполнение государственных функций в установленной сфере ведения управления.

6.4. Обработка персональных данных, необходимых в связи с исполнением государственных функций, осуществляется структурными подразделениями управления, исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в управление в целях исполнения государственной функции, осуществляется путем:

получения оригиналов необходимых документов (заявление);

заверения копий документов;

внесения сведений в учетные формы (на бумажных и электронных носителях).

6.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

6.7. При исполнении государственных функций управлением запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

7. Порядок обработки персональных данных субъектов персональных данных в информационных систе