Приложение 1. Правила обработки персональных данных в Министерстве жилищной политики и государственного строительного надзора Республики Крым. Приказ Министерства жилищной политики и государственного строительного надзора Республики Крым от 28.02.2022 N 45/1-"П" "Об утверждении документов, определяющих политику обработки персональных данных в Министерстве жилищной политики и государственного строительного надзора Республики Крым"

Приложение 1
к приказу Министерства
жилищной политики и государственного
строительного надзора Республики Крым
от 28 февраля 2022 года N 45/1-"П"

Правила обработки персональных данных в Министерстве жилищной политики и государственного строительного надзора Республики Крым

1. Общие положения

1.1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки и обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Министерстве жилищной политики и государственного строительного надзора Республики Крым (далее - Правила) разработаны на основании требований Трудового кодекса Российской Федерации, федеральных законов от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации", от 27 июля 2006 года N 152-ФЗ "О персональных данных", Указа Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлений Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.2. Целью Правил является определение порядка действий при обработке персональных данных, содержания обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, а также порядок уничтожения персональных данных при достижении целей обработки в Министерстве жилищной политики и государственного строительного надзора Республики Крым (далее - Министерство).

1.3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.4. Действие настоящих Правил не распространяется на отношения, возникшие при:

- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации, обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2. Принципы и цели обработки персональных данных

2.1. Принципы обработки персональных данных:

2.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2.1.2. Обработка персональных данных должна ограничиваться достижением конкретных целей, определенных настоящими Правилами. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Должностные лица Министерства должны принимать необходимые меры либо обеспечивать их принятие по удалению (уничтожению) или уточнению неполных или неточных данных.

2.1.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, законодательством Республики Крым, нормативными правовыми документами Министерства. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

2.2. Обработке в Министерстве подлежат только персональные данные, которые отвечают нижеследующим целям их обработки:

2.2.1. Для физических лиц, направивших в Министерство письменное обращение (предложение, заявление, жалобу, устное обращение) с целью проведения мероприятий по урегулированию ситуаций, по которым физические лица обратились в Министерство.

2.2.2. Для лиц, претендующих на замещение должностей государственной гражданской службы Республики Крым.

Для лиц, претендующих на должности руководителей, заместителей руководителя, главных бухгалтеров государственных унитарных предприятий (государственных автономных учреждений, казенных учреждений) Республики Крым отнесенных к ведению Министерства (далее - предприятия, учреждения отнесенные к ведению Министерства), назначение или согласование назначения которых осуществляется министром жилищной политики и государственного строительного надзора Республики Крым (далее - Министр), прием на которые осуществляется путем заключения трудовых договоров.

Для лиц, претендующих на прохождение стажировки (практики) в Министерстве, прохождения конкурсного отбора на вакантные должности и включения в кадровый резерв.

2.2.3. Для лиц, замещающих должности государственной гражданской службы Республики Крым, руководителей, заместителей руководителя, главных бухгалтеров предприятий, учреждений, отнесенных к ведению Министерства, назначение или согласование назначения которых осуществляется Министром, лиц, проходящих стажировку (практику) с целью замещения государственных должностей Республики Крым - с целью прохождения государственной гражданской службы, исполнения трудовых обязанностей: исполнения прав и обязанностей сторон служебного контракта (трудового договора), исполнения законодательства в сфере социального страхования и воинского, статистического учета, пенсионного и налогового законодательства, законодательство о противодействии коррупции, исполнения требования других федеральных законов, прохождения и продвижения по службе (работе), обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, оформления доверенностей, прохождения конкурсного отбора на вакантные должности и пребывания в кадровом резерве, прохождения стажировки (практики), прохождения безналичных платежей (заработная плата) на банковский счет.

2.2.4. Для лиц, замещавших государственные должности Республики Крым, проходивших стажировку (практику), состоявших в кадровом резерве, руководителей, заместителей руководителя, главных бухгалтеров предприятий, учреждений, отнесенных к ведению Министерства, назначение или согласование назначения которых осуществляется Министром, - с целью архивирования личных дел, передачи их в другие органы государственной власти, составления предусмотренной законодательством отчетности, информационных материалов.

2.2.5. Исполнения договора, стороной которого является субъект персональных данных.

3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

3.1. Министерство устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

- формирование локальной нормативной правовой базы Министерства по вопросам обработки персональных данных;

- определение ответственного за организацию обработки персональных данных;

- определение перечня должностей государственной гражданской службы Министерства, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Министерстве и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение мер, направленных на обеспечение защиты этих персональных данных;

- ознакомление государственных гражданских служащих Министерства, непосредственно осуществляющих обработку персональных данных, с нормативными правовыми актами Министерства, определяющими политику Министерства в отношении обработки персональных данных;

- получение персональных данных лично у субъекта персональных данных (в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных; в случае возникновения необходимости получения персональных данных у третьей стороны Министерство извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных);

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- опубликование на официальном сайте Министерства в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику Министерства в отношении обработки персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативным правовыми актами, требованиями к защите персональных данных, политике Министерства в отношении обработки персональных данных, в соответствии с приказом Министерства.

4. Обрабатываемые персональные данные

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

4.3. К документам, содержащим информацию персонального характера, относятся:

- документы, удостоверяющие личность;

- учетные документы по личному составу, а также вспомогательные регистрационно-учетные формы, содержащие сведения персонального характера;

- служебные контракты, трудовые договоры, гражданско-правовые договоры, дополнительные соглашения к служебным контрактам, трудовым договорам и гражданско-правовым договорам, должностные регламенты и должностные инструкции, договоры о материальной ответственности с работниками;

- распорядительные документы по личному составу (подлинники и копии);

- документы по оценке деловых и профессиональных качеств работников при приеме на работу и прохождении государственной гражданской службы;

- документы, отражающие деятельность конкурсных и аттестационных комиссий;

- документы о служебных расследованиях;

- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководителям структурных подразделений Министерства и подведомственных Министерству учреждений;

- отчеты, информации, направляемые в исполнительные органы государственной власти, налоговые инспекции, вышестоящие органы управления и другие учреждения;

- документы бухгалтерского учета, содержащие информацию о расчетах с персоналом и сведения персонального характера;

- медицинское заключение о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу и муниципальную службу или ее прохождению;

- материалы проверок достоверности и полноты сведений о доходах, расходах, об имуществе и обязательствах имущественного характера.

4.4. Перечни персональных данных, обрабатываемых в Министерстве в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций, определяются в соответствии с целями обработки персональных данных, определенных настоящими Правилами, и утверждаются приказом Министерства.

5. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения

5.1. К категориям субъектов, персональные данные которых обрабатываются в Министерстве, относятся:

- физические лица, направившие в Министерство устное и (или) письменное обращение: предложение, заявление, жалобу;

- физические лица, обратившиеся в Министерство с целью трудоустройства;

- государственные гражданские служащие Министерства, супруга (супруг), каждый несовершеннолетний ребенок государственного гражданского служащего Министерства;

- лица, работавшие в Министерстве, лица, замещавшие государственные должности Республики Крым, проходившие конкурс на замещение вакантной должности, состоявшие в кадровом резерве, проходившие стажировку (практику);

- руководители, заместители руководителя, главные бухгалтера предприятий, учреждений, отнесенных к ведению Министерства, супруга (супруг), каждый несовершеннолетний ребенок руководителя, заместителей руководителя, главных бухгалтеров предприятий, учреждений, отнесенных к ведению Министерства.

5.2. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.

5.3. Использование персональных данных осуществляется с момента их получения Министерством и прекращается: по достижении целей обработки персональных данных, в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

5.4. Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел Министерства.

Срок хранения персональных данных на электронных носителях составляет 20 (двадцать) лет, но не более срока хранения личных дел в соответствии с номенклатурой дел Министерства.

6. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

6.1. В случае достижения цели обработки персональных данных и (или) по достижении сроков их хранения, Министерство обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в срок, не превышающий тридцати календарных дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором или соглашением, стороной которого является субъект персональных данных, либо если Министерство не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Министерство обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в срок, не превышающий тридцати календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором или соглашением, стороной которого является субъект персональных данных, либо если Министерство не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.3. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится комиссией по уничтожению персональных данных, назначаемой приказом Министерства.

6.4. Порядок уничтожения персональных данных, утративших свое практическое значение, осуществляется в соответствии с разработанными внутренними документами, утвержденными приказом Министерства.

7. Обязанности должностных лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных при обработке персональных данных

7.1. Лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных обязаны:

- знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

- хранить в тайне известные им персональные данные, информировать Министра о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

- соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

7.2. При обработке персональных данных лицам, уполномоченным на получение, обработку, хранение, передачу и любое другое использование персональных данных, запрещается:

- раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- использовать сведения, содержащие персональные данные, в неслужебных целях;

- проводить несанкционированное копирование документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные.

7.3. Перечень должностей государственной гражданской службы Министерства, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Министерстве и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение мер, направленных на обеспечение защиты этих персональных данных, утверждается приказом Министерства.

На основании утвержденного перечня должностей государственной гражданской службы Министерства, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Министерстве, руководителями структурных подразделений Министерства разрабатываются перечни лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. Указанный перечень утверждается приказом Министра.

8. Права и обязанности субъекта персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения Министерства, сведения о лицах (за исключением сотрудников Министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании законодательства;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование должности, фамилию, имя, отчество и служебный адрес лица, осуществляющего обработку персональных данных.

8.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

8.3. Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.4. Сведения, указанные в пункте 8.1. раздела 8 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.5. Если субъект персональных данных считает, что Министерство осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Министерства в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.7. Субъект персональных данных обязан:

- своевременно передавать в Министерство достоверные, документированные персональные данные, предусмотренные действующим законодательством, настоящими Правилами;

- своевременно сообщать лицам, уполномоченным на обработку персональных данных, об изменении своих персональных данных.

9. Ответственность должностных лиц, уполномоченных на обработку персональных данных

9.1. Лица, уполномоченные на обработку персональных данных, виновные в нарушении требований законодательства в области обеспечения защиты персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

9.2. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется Министерством путем осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", принятым в соответствии с ним нормативными правовыми актами и приказами Министерства.

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и приказами Министерства.

10. Меры, принимаемые для защиты персональных данных в Министерстве

10.1. Для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в Министерстве применяются следующие меры:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.