Приказ Департамента по труду и занятости населения Правительства Еврейской автономной области от 07.09.2022 N 185/22 "Об утверждении внутренних нормативных актов департамента по труду и занятости населения правительства Еврейской автономной области по защите информации"

В целях исполнения положений Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и приказа Федеральная служба по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

приказываю:

ГАРАНТ:

О Правилах работы с обезличенными персональными данными и Перечня должностей работников, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных см. Приказ Управления трудовой занятости населения Правительства Еврейской автономной области от 11 июня 2019 г. N 90/19

Об утверждении Положения об обработке персональных данных без использования средств автоматизации в управлении трудовой занятости населения правительства Еврейской автономной области см. Приказ Управления трудовой занятости населения Правительства Еврейской автономной области от 11 июня 2019 г. N 87/19

1. Утвердить прилагаемые:

- Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения;

- Правила рассмотрения запросов субъектов персональных данных или их представителей;

- Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте по труду и занятости населения правительства Еврейской автономной области;

- Перечень информационных систем персональных данных;

- Перечень персональных данных, обрабатываемых в департаменте по труду и занятости населения правительства Еврейской автономной области в связи с оказанием государственных услуг и осуществлением государственных функций;

- Перечень должностей департамента по труду и занятости населения правительства Еврейской автономной области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

- Типовое обязательство служащего департамента по труду и занятости населения правительства Еврейской автономной области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

- Порядок доступа служащих департамента по труду и занятости населения правительства Еврейской автономной области в помещения, в которых ведется обработка персональных данных;

- Обязательство о неразглашении сведений конфиденциального характера и персональных данных департамента по труду и занятости населения правительства Еврейской автономной области.

2. Признать утратившими силу приказы управления трудовой занятости населения правительства Еврейской автономной области:

- от 11.06.2019 N 89/19 "Об утверждении внутренних нормативных актов управления трудовой занятости населения правительства Еврейской автономной области по защите информации";

- от 11.06.2019 г. N 88/19 "Об утверждении типового обязательства государственного служащего (работника) управления трудовой занятости населения правительства Еврейской автономной области, непосредственно осуществляющего обработку конфиденциальной информации и персональных данных, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку конфиденциальной информации и персональных данных, ставших известными ему в связи с исполнением должностных (служебных) обязанностей и типовой формы согласия на обработку конфиденциальной информации и персональных данных государственных гражданских служащих (работников) управления трудовой занятости населения правительства Еврейской автономной области, а также иных субъектов персональных данных".

3. Настоящий приказ вступает в силу со дня его официального опубликования.

Первый заместитель начальника департамента

В.В. Березовский

УТВЕРЖДЕНЫ
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

Правила
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения

1. Общие положения

1.1. Настоящие Правила обработки персональных данных устанавливают единый порядок обработки персональных данных в департаменте по труду и занятости населения правительства Еврейской автономной области.

1.2. Настоящие правила разработаны на основании и в соответствии с требованиями следующих законодательных и нормативных правовых актов Российской Федерации:

- Трудовой кодекс Российской Федерации;

- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

- Постановление Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами";

- Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.3. Настоящие правила устанавливают и определяют:

- процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;

- цели обработки персональных данных;

- содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- сроки обработки и хранения обрабатываемых персональных данных.

1.4. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных статьей 3 Федерального закона N 152-ФЗ.

1.5. Департамент по труду и занятости населения правительства Еврейской автономной области (далее - департамент или Оператор) является оператором персональных данных, осуществляющим обработку персональных лиц, не являющихся работниками департамента.

1.6. Доступ к Правилам неограничен, так как Правила являются документом, определяющим политику Оператора в отношении обработки персональных данных.

1.7. Правила вступает в силу с момента их утверждения и действуют до замены их новыми Правилами.

2. Процедуры, направленные на выявление и предотвращение нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных

2.1. Оператор должен соблюдать принципы и условия обработки персональных данных, а также права субъектов персональных данных, определенные в Федеральном законе N 152-ФЗ.

2.2. Оператор должен принимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ в частности:

- назначить ответственного за организацию обработки персональных данных в департаменте;

- разработать и утвердить документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона N 152-ФЗ;

- осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- оценивать вред, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;

- ознакомить служащих департамента, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и настоящими Правилами;

- запрещать обработку персональных данных лицами, не допущенными к их обработке.

2.3. Обработка персональных данных должна осуществляется после получения согласия субъекта персональных данных (за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона N 152-ФЗ), при условии выполнения требований к защите персональных данных.

2.4. Безопасность персональных данных при их обработке в информационной системе обеспечивает Оператор.

2.5. При обработке персональных данных необходимо соблюдать следующие требования:

- к работе с персональными данными допускаются только лица, назначенные соответствующим приказом начальника департамента;

- в целях обеспечения сохранности документов, содержащих персональные данные, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться служащими департамента, осуществляющими данную работу в соответствии со своими должностными обязанностями, зафиксированными в их должностных регламентах;

- на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации.

2.6. Особенности обработки персональных данных с использованием средств автоматизации:

- обработка персональных данных с использованием средств автоматизации осуществляется в государственных информационных системах, состав которых должен быть определен в Перечне государственных информационных систем;

- машинные носители персональных данных должны подлежать обязательной регистрации и учету в соответствии с Приказом департамента, регламентирующим порядок учета и хранения носителей персональных данных;

- обработка персональных данных в информационных системах персональных данных должна осуществляться при условии выполнения требований к защите персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Состав и содержание таких мер утвержден приказом ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

3. Цели обработки персональных данных

3.1. Цель обработки персональных данных определяется целями создания и видами деятельности департамента, соблюдение действующего законодательства.

3.2. Субъектами, персональные данные которых обрабатываются для указанных целей, являются лица, не являющиеся работниками департамента.

4. Содержание обрабатываемых персональных данных для каждой цели обработки персональных данных

4.1. Содержание обрабатываемых персональных данных должно определяться целью обработки персональных данных и утверждаться локальным актом Оператора (Перечень персональных данных, обрабатываемых в департаменте в связи с оказанием услуг по занятости населению).

4.2. Содержание обрабатываемых персональных данных определяется для каждой цели обработки персональных данных.

5. Категории субъектов, персональных данных которых обрабатываются в департаменте:

- лица, не являющиеся работниками департамента.

6. Сроки обработки и хранения обрабатываемых персональных данных

6.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

6.2. Основания для прекращения обработки персональных данных определены в частях 3, 4, 5 статьи 21 Федерального закона N 152-ФЗ.

6.3. Основанием (условием) прекращения обработки персональных данных также является ликвидация департамента.

7. Ответственность за нарушение требований Правил обработки персональных данных

7.1. Лица, виновные в нарушении требований Правил обработки персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, в том числе дисциплинарную, административную и уголовную ответственность.

8. Заключительные положения

8.1. Служащие, определенные приказом департамента, как пользователи, участвующие в обработке персональных данных, должны ознакомиться с настоящими Правилами обработки персональных данных.

8.2. Обязанность доводить до сведения служащих (работников) Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных лежит на лице, ответственном за организацию обработки персональных данных (п. 2, часть 4, статья 22.1 Федерального закона N 152-ФЗ).

УТВЕРЖДЕНЫ
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

Правила
рассмотрения запросов субъектов персональных данных или их представителей

1. Настоящими правилами рассмотрения запросов субъектов персональных данных или их представителей определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы).

2. Настоящие правила разработаны в соответствии Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (часть 7 статьи 14 Федерального закона N 152-ФЗ), в том числе содержащей:

- подтверждение факта обработки персональных данных в департаменте по труду и занятости населения правительства Еврейской автономной области (далее - департамент);

- правовые основания и цели обработки персональных данных;

- цели и применяемые способы обработки персональных данных;

- наименование и место нахождения в департаменте сведений о лицах (за исключением работников департамента), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с департаментом или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным закон N 152-ФЗ;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению департамента, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным закон N 152-ФЗ или другими федеральными законами.

4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона N 152-ФЗ.

5. Субъект персональных данных вправе требовать от департамента уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6. Сведения, указанные в части 7 статьи 14 Федерального закона N 152-ФЗ должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

7. Сведения, указанные в части 7 статьи 14 Федерального закона N 152-ФЗ, предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

8. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с департаментом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных департаментом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9. Рассмотрение запросов является служебной обязанностью начальника департамента, первого заместителя начальника департамента, заместителей начальника департамента и уполномоченных должностных лиц, в чьи обязанности входит обработка персональных данных.

10. Должностные лица департамента обеспечивают:

- объективное, всестороннее и своевременное рассмотрения запроса;

- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;

- направление письменных ответов по существу запроса.

11. Ведение делопроизводства по запросам осуществляется специально назначенным сотрудником департамента.

12. Все поступившие запросы регистрируются в день их поступления. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации.

13. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае, если сведения, указанные в части 7 статьи 14 Федерального закона N 152-ФЗ, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в департамент или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона N 152-ФЗ, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Субъект персональных данных вправе обратиться повторно в департамент или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона N 152-ФЗ, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.

14. Департамент вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ. Такой отказ должен быть мотивированным.

15. Прошедшие регистрацию запросы в тот же день направляются начальнику департамента, либо лицу, его заменяющему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.

16. Начальник департамента, первый заместитель начальника департамента, заместители начальника департамента и другие должностные лица при рассмотрении и разрешении запросов обязаны:

- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;

- принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;

- сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.

17. Департамент обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

18. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя уполномоченные должностные лица департамента обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона N 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.

19. Департамент обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

20. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица департамента обязаны внести в них необходимые изменения.

21. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица департамента обязаны уничтожить такие персональные данные (Приложение N 1 к настоящему приказу).

22. Департамент обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

23. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица департамента обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки (Приложение N 2 к настоящему приказу).

24. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица департамента обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

25. В случае подтверждения факта неточности персональных данных уполномоченные должностные лица департамента на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

26. В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица департамента в срок, не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица департамента в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные лица обязаны уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

26.1 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

27. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.

28. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения служащим департамента действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются начальнику департамента.

29. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

30. Ответы на запросы печатаются на бланке установленной формы и регистрируются за теми же номерами, что и запросы.

31. Начальник департамента осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.

32. Начальник департамента осуществляет контроль за работой с запросами и организацией их приема как лично, так и через своих заместителей. На контроль берутся все запросы.

33. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям.

34. Нарушение установленного порядка рассмотрения запросов влечет ответственность в соответствии с законодательством Российской Федерации.

Приложение N 1

Акт об уничтожении персональных данных

Комиссия, наделенная полномочиями приказом департамента по труду и занятости населения правительства Еврейской автономной области от __________ N ____, в составе:

	ФИО	Должность
Председатель
Члены комиссии

провела отбор носителей персональных данных и установила, что информация, записанная на них в процессе эксплуатации, подлежит гарантированному уничтожению:

N п/п	Дата	Тип носителя	Регистрационный номер носителя ПДн	Примечание

Всего съемных носителей _____________________________________________

(цифрами и прописью)

На указанных носителях персональные данные уничтожены путем

_____________________________________________________________________.

(способы уничтожения информации)

Перечисленные носители ПДн уничтожены путем

_____________________________________________________________________.

(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т.п.)

Председатель комиссии: _________________/ _________________/

Члены комиссии: _________________ / _________________/

Приложение N 2

__________________/ _________________/

_____________________________________

(Ф.И.О.)

от ____________________________________

УВЕДОМЛЕНИЕ N___

Согласно запросу N ___ от __________________________ на ___________________

(дата запроса)

(блокирование/удаление)

персональных данных было произведено ________________________________

(блокирование/удаление)

Ваших персональных данных:

_____________________________________________________________________

(Ф.И.О. при наличии)

проживающего _______________________________________________________

_____________________________________________________________________

паспорт сер. __________ N ______________

_____________________________________________________________________

_____________________________________________________________________

(кем выдан, дата выдачи)

(дата)

(подпись)

УТВЕРЖДЕНЫ
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте по труду и занятости населения правительства Еврейской автономной области

1. Общие положения

1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в департаменте по труду и занятости населения правительства Еврейской автономной области (далее - департамент) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее - ПДн); основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн, необходимой для предоставления государственных и муниципальных услуг, требованиям к защите ПДн.

1.2. Настоящие правила разработаны на основании Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" и в соответствии с пунктом 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденных постановлением Правительства РФ от 21.03.2012 N 211.

1.3. Для обработки ПДн, необходимых для предоставления государственных услуг, используется государственная информационная система (далее - ГИС) "Катарсис", предназначенная для осуществления деятельности департамента, согласно Положению о департаменте по труду и занятости населения правительства Еврейской автономной области, утвержденному постановлением правительства Еврейской автономной области от 20.03.2018 N 84-пп.

1.4. Пользователем ГИС (далее - пользователь) является сотрудник департамента, участвующий в рамках выполнения своих должностных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты информации (далее - СЗИ) ГИС.

1.5. Контрольные мероприятия за обеспечением уровня защищенности персональных данных и соблюдением условий использования средств защиты информации, а также соблюдением требований законодательства Российской Федерации по обработке персональных данных в ГИС "Катарсис" проводятся в следующих целях:

- проверки выполнения требований организационно-распорядительной документации по защите информации в департаменте и действующего законодательства Российской Федерации в области обработки и защиты персональных данных;

- оценки уровня осведомленности и знаний работников департамента в области обработки и защиты персональных данных;

- оценки обоснованности и эффективности применяемых мер и средств защиты.

2. Тематика внутреннего контроля

Тематика внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн:

2.1. Проверки соответствия обработки ПДн установленным требованиям в департаменте разделяются на следующие виды:

- регулярные;

- плановые;

- внеплановые.

2.2. Регулярные контрольные мероприятия проводятся Администратором ГИС в соответствии с утвержденным Планом проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте по труду и занятости населения правительства Еврейской автономной области (далее - План, Приложение N 1) и предназначены для осуществления контроля выполнения требований в области защиты информации в департаменте.

2.3. Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности (создается на период проведения мероприятий). Решение о проведении внеплановых контрольных мероприятий и созданию комиссии по информационной безопасности может быть принято в следующих случаях:

- по результатам расследования инцидента информационной безопасности;

- по результатам внешних контрольных мероприятий, проводимых регулирующими органами;

- по решению начальника департамента.

3. Планирование контрольных мероприятий

3.1. Для проведения плановых внутренних контрольных мероприятий лицо, ответственное за обеспечение безопасности персональных данных, разрабатывает План внутренних контрольных мероприятий на текущий год.

3.2. План проведения внутренних контрольных мероприятий включает следующие сведения по каждому из мероприятий:

- цели проведения контрольных мероприятий;

- задачи проведения контрольных мероприятий;

- объекты контроля (процессы, подразделения, информационные системы и т.п.);

- состав участников, привлекаемых для проведения контрольных мероприятий;

- сроки и этапы проведения контрольных мероприятий.

3.3. Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на десять рабочих дней, соответствующие изменения отображаются в Отчете, выполняемом по результатам проведенных контрольных мероприятий.

4. Оформление результатов контрольных мероприятий

4.1. По итогам проведения регулярных контрольных мероприятий результаты проверок фиксируется в Журнале учета событий информационной безопасности.

4.2. По итогам проведения плановых и внеплановых контрольных мероприятий лицо, комиссия, разрабатывает отчет, в котором указывается:

- описание проведенных мероприятий по каждому из этапов;

- перечень и описание выявленных нарушений;

- рекомендации по устранению выявленных нарушений;

- заключение по итогам проведения внутреннего контрольного мероприятия.

4.3. Отчет передается начальнику департамента на рассмотрение.

4.4. Общая информация о проведенном контрольном мероприятии фиксируется в Журнале учета событий информационной безопасности.

4.5. Результаты проведения мероприятий по внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте (Приложение N 2).

5. Порядок проведения плановых и внеплановых контрольных мероприятий

5.1. Плановые и внеплановые контрольные мероприятия проводятся при обязательном участии лица, ответственного за обеспечение безопасности ПДн.

5.2. Лицо, ответственное за обеспечение безопасности ПДн, не позднее, чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений департамента о проверке, и направляет им для ознакомления План проведения контрольных мероприятий. При проведении внеплановых контрольных мероприятий уведомление не требуется.

5.3. Во время проведения контрольных мероприятий, в зависимости от целей мероприятий, могут выполняться следующие проверки:

- соответствие полномочий пользователя правилам доступа;

- соблюдение пользователями требований инструкций по организации антивирусной и парольной политики, инструкции по обеспечению безопасности ПДн;

- соблюдение инструкций и регламентов по обеспечению безопасности информации в департаменте;

- соблюдение Порядка доступа в помещения, где ведется обработка персональных данных;

- знание пользователями положений Инструкции пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций;

- порядок и условия применения средств защиты информации;

- состояние учета машинных носителей персональных данных;

- наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер;

- проведенные мероприятия по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- технические мероприятия, связанные со штатным и нештатным функционированием средств защиты;

- технические мероприятия, связанные со штатным и нештатным функционированием подсистем системы защиты информации.

Приложение N 1
к Правилам осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных

План
внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных

Мероприятие	Периодичность регулярных мероприятий	Исполнитель
Контроль соблюдения правил доступа к ПДн	еженедельно	Ответственный за обеспечение безопасности ПДн в ГИС
Контроль соблюдения режима защиты	еженедельно	Ответственный за обеспечение безопасности ПДн в ГИС
Контроль выполнения антивирусной политики	еженедельно	Ответственный за обеспечение безопасности ПДн в ГИС
Контроль выполнения парольной политики	еженедельно	Ответственный за обеспечение безопасности ПДн в ГИС
Контроль соблюдения режима защиты при подключении к сетям общего пользования	еженедельно	Ответственный за обеспечение безопасности ПДн в ГИС
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн	ежеквартально	Ответственный за обеспечение безопасности ПДн в ГИС
Контроль обновления ПО и единообразия применяемого ПО на всех элементах ГИС "Катарсис"	По мере необходимости	Ответственный за обеспечение безопасности ПДн в ГИС
Контроль обеспечения резервного копирования	ежемесячно	Ответственный за обеспечение безопасности ПДн в ГИС
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных, угроз	ежемесячно	Ответственный за обеспечение безопасности ПДн в ГИС
Поддержание в актуальном состоянии нормативно-организационных документов	ежемесячно	Ответственный за организацию обработки ПДн в ГИС
Контроль запрета на использование беспроводных соединений	еженедельно	Ответственный за организацию обработки ПДн в ГИС

Приложение N 2
к Правилам осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных

ПРОТОКОЛ N ____
проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте по труду и занятости населения правительства Еврейской автономной области

Настоящий Протокол составлен в том, что "__" _______20__ г.

_______________________________________________________ (комиссией)

(должность, Ф.И.О. сотрудника)

проведена проверка __________________________________________________

(тема проверки)

Проверка осуществлялась в соответствии с требованиями:

_____________________________________________________________________

(название документа)

_____________________________________________________________________

В ходе проверки проверено:

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Выявленные нарушения:

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Меры по устранению нарушений:

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Срок устранения нарушений: __________________________________________

Председатель комиссии:

_____________________________________________________________________

фамилия и инициалы / подпись / должность

Члены комиссии:

_____________________________________________________________________

фамилия и инициалы / подпись / должность

_____________________________________________________________________

фамилия и инициалы / подпись / должность

УТВЕРЖДЕН
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

Перечень
информационных систем персональных данных

1. ГИС ПК "Катарсис".

УТВЕРЖДЕН
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

Перечень
персональных данных, обрабатываемых в департаменте по труду и занятости населения правительства Еврейской автономной области в связи с оказанием государственных услуг и осуществлением государственных функций

В связи с оказанием государственных услуг и осуществлением государственных функций департаментом по труду и занятости населения правительства Еврейской автономной области в ГИС ПК "Катарсис" обрабатываются следующие категории персональных данных Заявителей:

- фамилия, имя, отчество;

- дата рождения;

- паспортные данные (серия, номер, кем и когда выдан);

- справка об освобождении из мест лишения свободы;

- индивидуальный номер налогоплательщика;

- номер страхового свидетельства государственного пенсионного страхования;

- контактные телефоны;

- свидетельство о браке;

- об образовании;

- свидетельства о рождении детей;

- количество детей;

- сведения из трудовой книжки;

- номер счета в кредитной организации;

- сведения о доходах с последнего места работы;

- данные по исполнительному листу;

- сведения о состоянии здоровья (группа, причина инвалидности, беременность и ее срок);

- копия индивидуальной программы реабилитации (абелитации);

- решение ГБ МСЭ;

- справка об ограничениях по состоянию здоровья;

- должность.

УТВЕРЖДЕН
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

Перечень
должностей департамента по труду и занятости населения правительства Еврейской автономной области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

- Заместитель начальника департамента - начальник отдела финансов и контроля

- Консультант отдела финансов и контроля

- Главный специалист-эксперт отдела финансов и контроля

- Ведущий специалист-эксперт отдела финансов и контроля

- Начальник отдела организации ведения регистра получателей услуг и защиты информации

- Консультант отдела организации ведения регистра получателей услуг и защиты информации

- Консультант отдела по организации профессионального обучения

- Начальник отдела трудоустройства и рынка труда

- Консультант отдела трудоустройства и рынка труда

- Главный специалист эксперт отдела трудоустройства и рынка труда.

УТВЕРЖДЕНО
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
служащего департамента по труду и занятости населения правительства Еврейской автономной области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

Я, __________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

(фамилия, имя, отчество (при наличии), должность)

обязуюсь прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта (трудового договора).

В соответствии со статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" я уведомлен(а) о том, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные, ставшие известными мне в связи с исполнением должностных обязанностей, без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных, о государственной гражданской службе и о противодействии коррупции.

Положения законодательства Российской Федерации, предусматривающие ответственность за нарушение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", мне разъяснены.

(дата)

(подпись)

УТВЕРЖДЕН
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

Порядок
доступа служащих департамента по труду и занятости населения правительства Еврейской автономной области в помещения, в которых ведется обработка персональных данных

1. Настоящий Порядок доступа служащих департамента по труду и занятости населения правительства Еврейской автономной области (далее - департамент) в помещения, в которых ведется обработка персональных данных (далее - Порядок) разработан в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.

2. Целью настоящего Порядка является исключение несанкционированного доступа к персональным данным субъектов персональных данных в департаменте.

3. Персональные данные относятся к конфиденциальной информации. Работники и должностные лица департамента, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено вышеназванным федеральным законом.

4. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных.

5. Для помещений, в которых обрабатываются персональные данные, организуется режим безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

6. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только работники и должностные лица департамента, получившие доступ к персональным данным.

7. Нахождение в помещениях, в которых ведется обработка персональных данных лиц, не являющихся работниками и должностными лицами департамента, получившими доступ к персональным данным, возможно только в присутствии работников и должностных лиц департамента, получивших доступ к персональным данным на время, ограниченное необходимостью решения вопросов, связанных с исполнением должностных функций и (или) осуществлением полномочий в рамках договоров, заключенных с департаментом.

8. Работники и должностные лица департамента, получившие доступ к персональным данным не должны покидать помещение, в котором ведется обработка персональных данных, оставляя в нем без присмотра посторонних лиц, включая работников департамента, не уполномоченных на обработку персональных данных. После окончания рабочего дня дверь каждого помещения закрывается на ключ.

9. Ответственными за организацию доступа в помещения департамента, в которых ведется обработка персональных данных, являются должностные лица департамента.

10. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных или комиссией, утверждаемой приказом департамента.

УТВЕРЖДЕНО
приказом департамента по труду и
занятости населения правительства
Еврейской автономной области
от 07.09.2022 N 185/22

Обязательство
о неразглашении сведений конфиденциального характера и персональных данных департамента по труду и занятости населения правительства Еврейской автономной области

Я, __________________________________________________________________

(представитель)

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

(наименование организации, местонахождение)

обязуюсь не разглашать сведения конфиденциального характера, ставшие мне известны в ходе выполнения договорных работ в департаменте по труду и занятости населения правительства Еврейской автономной области.

Я предупрежден, что за разглашение данных сведений буду привлечен к ответственности в соответствии с действующим законодательством Российской Федерации.

Подпись: __________________________

Дата: ________________________________

Проинструктировал: ___________________

Подпись: __________________________