Приложение N 1. Приказ Департамента аграрной политики Воронежской области от 19.07.2022 N 60-01-10/102 "О внесении изменений в приказ департамента аграрной политики Воронежской области от 24.12.2020 N 60-01-10/209"

Приложение N 1
к приказу
департамента аграрной политики
Воронежской области
от 19.07.2022 N 60-01-10/102

"Утверждены
приказом
департамента аграрной политики
Воронежской области
от 24 декабря 2020 N 60-01-10/209

Правила
обработки персональных данных в департаменте аграрной политики Воронежской области

1. Общие положения

1.1. Правила обработки персональных данных в департаменте аграрной политики Воронежской области (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют политику департамента аграрной политики Воронежской области (далее - департамент) как оператора, осуществляющего обработку персональных данных, и для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Обработка персональных данных в департаменте выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в департаменте.

Обезличивание персональных данных в департаменте не осуществляется.

В департаменте для автоматизированной обработки персональных данных применяются информационные системы персональных данных других операторов. Департамент не является оператором информационных систем персональных данных.

1.3. Обработка персональных данных в департаменте осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.

1.4. В департаменте к работе с персональными данными допускаются лица, замещающие государственные должности Воронежской области в департаменте, должности государственной гражданской службы Воронежской области в департаменте, и лица, замещающие должности, не являющиеся должностями государственной гражданской службы Воронежской области, в департаменте (далее - служащие департамента), в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным.

Правовым актом департамента утверждается перечень должностей служащих департамента, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - Перечень должностей). Проект Перечня должностей разрабатывается ответственным за обеспечение безопасности персональных данных при их обработке в информационных системах.

Служащие департамента, замещающие должности, включенные в Перечень должностей, уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте. Обработка персональных данных либо доступ к персональным данным за исключением своих собственных персональных данных служащими департамента, не уполномоченными на совершение таких действий с персональными данными в порядке, предусмотренном настоящими Правилами, в департаменте запрещены.

Отделом делопроизводства департамента осуществляется ведение перечня лиц, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте.

Ответственность за наличие у лиц, замещающих государственные должности Воронежской области в департаменте, руководителей структурных подразделений департамента полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте несет лицо, ответственное за организацию обработки персональных данных в департаменте. Ответственность за наличие у остальных служащих департамента полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте несут руководители структурных подразделений департамента, в которых служащие департамента замещают соответствующие должности.

Служащие департамента, уполномоченные осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте, могут осуществлять обработку персональных данных как неавтоматизированным, так и автоматизированным способами.

1.5. Действие настоящих Правил не распространяется на отношения, возникающие при:

организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

обработке персональных данных, отнесенных в порядке, установленном Законом Российской Федерации от 21 июля 1993 года N 5485-1 "О государственной тайне", к сведениям, составляющим государственную тайну.

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в департаменте используются следующие процедуры:

2.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2.2. Ознакомление служащих департамента, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), правовыми актами департамента по вопросам обработки персональных данных.

Перед началом обработки персональных данных служащие департамента, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте, подписывают обязательство служащего департамента, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (далее - обязательство прекратить обработку персональных данных), и предоставляют его в отдел делопроизводства департамента.

Обработка персональных данных за исключением своих собственных персональных данных служащими департамента до момента подписания обязательства прекратить обработку персональных данных запрещается.

Подписание лицами, замещающими государственные должности Воронежской области в департаменте, служащими департамента обязательства прекратить обработку персональных данных, предусмотренного настоящими Правилами, обеспечивает отдел делопроизводства департамента. В случае если служащий департамента, который уполномочен осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте, переведен или назначен на другую должность, включенную в Перечень должностей, то он перед началом обработки персональных данных на новой должности повторно подписывает обязательство прекратить обработку персональных данных и предоставляет его в отдел делопроизводства департамента.

Подписанные обязательства прекратить обработку персональных данных приобщаются к личным делам служащих департамента.

2.3. Ограничение обработки персональных данных достижением цели обработки.

2.4. Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки.

2.5. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных.

2.6. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.7. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях - актуальности по отношению к целям обработки персональных данных.

2.8. Соблюдение условий при хранении носителей персональных данных, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним, посредством принятия мер обеспечения безопасности, включающих:

2.8.1. Хранение бумажных и машинных носителей информации (магнитные и оптические диски, флеш-накопители, накопители на жестких магнитных дисках, твердотельные накопители и другие), содержащих персональные данные (далее - машинные носители персональных данных), только в помещениях, включенных в перечень помещений, в которых осуществляется обработка, в том числе хранение, персональных данных (носителей персональных данных) в департаменте, утвержденный правовым актом департамента, в условиях, исключающих возможность доступа посторонних лиц к персональным данным, в закрываемых сейфах или шкафах (ящиках). Проект Перечня помещений разрабатывается ответственным за обеспечение безопасности персональных данных при их обработке в информационных системах.

2.8.2. Резервное копирование персональных данных, содержащихся в информационных системах персональных данных, применяемых в департаменте, на резервные машинные носители персональных данных, которое осуществляется операторами соответствующих информационных систем персональных данных.

2.8.3. Раздельное хранение персональных данных, обработка которых осуществляется в различных целях, определенных настоящими Правилами, на разных материальных носителях, которое обеспечивается структурными подразделениями департамента, осуществляющими обработку персональных данных неавтоматизированным способом (без использования средств вычислительной техники).

2.8.4. Уничтожение персональных данных на машинных носителях персональных данных в случае их передачи (в том числе в составе технических средств) для их дальнейшей эксплуатации в другие структурные подразделения департамента или иные организации, а также при передаче таких машинных носителей персональных данных (в том числе в составе технических средств) на ремонт в сторонние организации, не имеющие права доступа к персональным данным, содержащимся на соответствующих машинных носителях персональных данных, или при выводе из эксплуатации (списании) указанных машинных носителей персональных данных (в том числе в составе технических средств), которое осуществляется ответственным за обеспечение безопасности персональных данных при их обработке в информационных системах.

2.9. Принятие мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, применяемых в департаменте, операторами этих информационных систем.

2.10. Запрет на передачу служащими департамента персональных данных, за исключением персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом, по незащищенным каналам связи, в том числе средствами факсимильной связи и электронной почты, а также на вынос носителей персональных данных из служебных помещений департамента в целях, не связанных со служебной необходимостью.

3. Цели обработки персональных данных

3.1. Реализация кадровой политики в департаменте и подведомственных департаменту учреждениях в пределах установленной компетенции.

3.2. Реализация задач в департаменте по допуску должностных лиц и граждан Российской Федерации к государственной тайне.

3.3. Реализация полномочий руководителя департамента по награждению наградами департамента и согласованию награждения государственными и ведомственными наградами Российской Федерации, поощрению губернатором и правительством Воронежской области.

3.4. Реализация задач по профилактике коррупционных и иных правонарушений.

3.5. Ведение воинского учета и бронирования граждан Российской Федерации, пребывающих в запасе Вооруженных Сил Российской Федерации и работающих в департаменте.

3.6. Обеспечение рассмотрения обращений и запросов граждан, поступивших в департамент, в том числе организация личного приема граждан.

3.7. Предоставление в соответствии с действующим законодательством средств областного бюджета (мер государственной поддержки) воронежским сельскохозяйственным товаропроизводителям и организациям агропромышленного комплекса.

3.8. Организация мероприятий по профессиональному развитию государственных гражданских служащих департамента, в том числе дополнительного профессионального образования и иных мероприятий по их профессиональному развитию.

3.9. Обеспечение реализации полномочий по утверждению состава общественного совета при департаменте.

3.10. Осуществление государственных и иных функций, а также предоставление государственной услуги департаментом.

4. Содержание обрабатываемых персональных данных

4.1. Служащими департамента, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте, допускается обработка персональных данных всех категорий, которые обрабатываются в департаменте.

4.2. Содержание и объем обрабатываемых персональных данных для каждой цели обработки персональных данных определено Перечнями персональных данных, обрабатываемых в департаменте в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных и иных функций, предоставлением государственной услуги.

5. Категории субъектов персональных данных

5.1. В департаменте обрабатываются персональные данные следующих субъектов персональных данных:

5.1.1. Лиц, замещающих или ранее замещавших государственные должности Воронежской области, должности государственной гражданской службы Воронежской области и иные должности в департаменте, исполнительных органах государственной власти Воронежской области и иных государственных органах Воронежской области.

5.1.2. Лиц, замещающих или ранее замещавших должности руководителей государственных учреждений Воронежской области.

5.1.3. Лиц, замещающих или ранее замещавших должности, включенные в номенклатуру должностей работников департамента, подлежащих оформлению на допуск к государственной тайне.

5.1.4. Лиц, претендующих на замещение вакантных должностей государственной гражданской службы Воронежской области и иных вакантных должностей в департаменте, включенных в номенклатуру должностей работников департамента, подлежащих оформлению на допуск к государственной тайне.

5.1.5. Близких родственников (отец, мать, братья, сестры и дети), супругов, в том числе бывших, и свойственников (супруги братьев и сестер, братья и сестры супругов) лиц, замещающих или ранее замещавших государственные должности Воронежской области, должности государственной гражданской службы Воронежской области и иные должности в департаменте, должности руководителей государственных учреждений Воронежской области, а также лиц, претендующих на замещение вакантных государственных должностей Воронежской области, вакантных должностей государственной гражданской службы Воронежской области и иных вакантных должностей в департаменте, вакантных должностей руководителей государственных учреждений Воронежской области.

5.1.6. Близких родственников (жена (муж), в том числе бывшие, отец, мать, дети, усыновители, усыновленные, полнородные и неполнородные (имеющие общих отца и мать) братья и сестры) лиц, замещающих или ранее замещавших должности, включенные в номенклатуру должностей работников департамента, подлежащих оформлению на допуск к государственной тайне, а также лиц, претендующих на замещение вакантных должностей, включенных в номенклатуру должностей работников департамента, подлежащих оформлению на допуск к государственной тайне.

5.1.7. Физических лиц в рамках рассмотрения обращений и запросов граждан.

5.1.8. Иных физических лиц, обработка персональных данных которых производится в целях, установленных настоящими Правилами.

5.2. Категории субъектов персональных данных для каждой цели обработки персональных данных определяются Перечнями персональных данных, обрабатываемых в департаменте в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных и иных функций, и предоставлением государственной услуги.

5.3. В случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", получение согласий субъектов персональных данных на обработку их персональных данных департаментом обеспечивается сотрудниками департамента.

Согласия субъектов персональных данных на обработку их персональных данных департаментом, полученные в письменной форме, хранятся в структурных подразделениях департамента, которые осуществляют сбор персональных данных, в течение 3 лет с даты прекращения обработки персональных данных соответствующих субъектов персональных данных.

Ответственность за наличие согласия субъектов персональных данных на обработку их персональных данных департаментом несут руководители структурных подразделений департамента, которыми осуществляется сбор персональных данных.

6. Сроки обработки и хранения персональных данных

6.1. Сроки обработки и хранения персональных данных в департаменте определяются правовыми актами, регламентирующими порядок их сбора и обработки.

В случае если правовыми актами конкретный срок обработки и хранения персональных данных не установлен, то их обработка осуществляется до достижения цели обработки персональных данных или утраты необходимости в достижении цели обработки персональных данных.

6.2. Срок хранения персональных данных в электронном виде должен соответствовать сроку хранения персональных данных на бумажных носителях, если иное не установлено законодательством Российской Федерации.

6.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных департаментом обработка соответствующих персональных данных в департаменте должна быть прекращена, если департамент не вправе осуществлять обработку таких персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

7.1. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

Срок уничтожения персональных данных не должен превышать тридцати дней с даты достижения цели обработки персональных данных (утраты необходимости в достижении цели обработки персональных данных), если иное не предусмотрено законодательством Российской Федерации.

7.2. Департаментом осуществляется контроль и отбор по истечении срока хранения, установленного законодательством Российской Федерации, обрабатываемых персональных данных, содержащихся на бумажных и машинных носителях персональных данных, в том числе в информационных системах персональных данных, подлежащих уничтожению.

Уничтожение персональных данных, срок хранения которых истек, производится служащими департамента, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в департаменте, а также оператором информационной системы персональных данных (в случае внесения персональных данных в информационную систему) по решению руководителя департамента.

7.3. В случае отсутствия возможности уничтожения персональных данных департамент осуществляет блокирование таких персональных данных и уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.

7.4. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7.5. В департаменте уничтожение бумажных носителей персональных данных осуществляется с использованием уничтожителей бумаги.

Уничтожение персональных данных на машинных носителях персональных данных осуществляется с использованием средств гарантированного удаления информации или путем физического разрушения машинного носителя персональных данных, исключающего дальнейшее восстановление информации.

Уничтожение персональных данных, внесенных в информационные системы персональных данных, применяемые в департаменте, осуществляется оператором соответствующей информационной системы по заявкам, поступившим от структурных подразделений департамента.

7.6. В целях реализации меры, предусмотренной подпунктом 2.8.4 настоящих Правил, структурные подразделения департамента направляют письменную заявку ответственному за обеспечение безопасности персональных данных при их обработке в информационных системах на уничтожение персональных данных на машинном носителе персональных данных (физическое разрушение машинного носителя персональных данных).

В срок, не превышающий 10 рабочих дней с даты поступления заявки, ответственным за обеспечение безопасности персональных данных при их обработке в информационных системах направляется заявителю уведомление в письменной форме, содержащее результаты уничтожения персональных данных на машинном носителе персональных данных (физического разрушения машинного носителя персональных данных), к которому прилагается соответствующий машинный носитель персональных данных (в случае если машинный носитель персональных данных не подвергался физическому разрушению).".