Постановление Губернатора Вологодской области от 19.09.2022 N 190 "О внесении изменений в постановление Губернатора области от 17 июня 2013 года N 269"

Постановляю:

1. Внести в постановление Губернатора области от 17 июня 2013 года N 269 "О реализации постановления Правительства Российской Федерации от 21 марта 2012 года N 211" следующие изменения:

1.1. В Положении об обработке и защите персональных данных в Правительстве области (приложение 1), утвержденном указанным постановлением:

1.1.1. В разделе I:

в пункте 1.1 после слов "от 15 июня 2020 года N 693 "О передаче полномочий органов исполнительной государственной власти области (подведомственных казенных учреждений)" дополнить словами ", от 5 июля 2021 года N 745 "О государственной информационной системе Вологодской области "Обращения граждан"";

дополнить пунктом 1.12 следующего содержания:

"1.12. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент), лицо, ответственное за организацию обработки персональных данных в Правительстве области в соответствии с распоряжением Губернатора области от 20 сентября 2019 года N 5085-р "О распределении обязанностей между членами Правительства области" (далее - лицо, ответственное за организацию обработки персональных данных в Правительстве области) незамедлительно организует внутреннее расследование.

Внутреннее расследование проводится комиссией по внутреннему расследованию по поручению лица, ответственного за организацию обработки персональных данных в Правительстве области, которым устанавливаются сроки проведения внутреннего расследования.

Персональный состав комиссии по внутреннему расследованию утверждается распоряжением Губернатора области с включением в его состав:

- представителя Департамента управления делами Правительства области;

- представителя управления специальной документальной связи и защиты государственной тайны Правительства области;

- представителя Департамента внутренней политики Правительства области (участвует в работе комиссии по внутреннему расследованию в случае поступления в Правительство области в порядке, предусмотренном Федеральным законом от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", обращения, в котором содержатся сведения об инциденте).

Результаты внутреннего расследования инцидента оформляются заключением комиссии по внутреннему расследованию, которое подписывается всеми членами комиссии.

Комиссия по внутреннему расследованию инцидента обеспечивает подготовку и представление в уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные частью 3.1 статьи 21 Федерального закона "О персональных данных", следующих уведомлений, подписанных лицом, ответственным за организацию обработки персональных данных в Правительстве области:

1) уведомление, содержащее информацию об обстоятельствах инцидента, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также сведения о лице, уполномоченном на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) уведомление о результатах внутреннего расследования выявленного инцидента, содержащее информацию об обстоятельствах инцидента, об установленных причинах, повлекших нарушение прав субъектов персональных данных, и установленном вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, мерах, направленных на предотвращение возникновения подобных инцидентов, а также сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии), о привлечении к ответственности должностных лиц Правительства области, действия которых стали причиной выявленного инцидента (при наличии).

Лицо, ответственное за организацию обработки персональных данных в Правительстве области:

- в течение 1 рабочего дня со дня подписания заключения комиссии по внутреннему расследованию информирует Губернатора области о результатах внутреннего расследования произошедшего инцидента, в том числе для решения Губернатором области вопроса привлечения к ответственности должностных лиц Правительства области, действия которых стали причиной выявленного инцидента;

- по результатам внутреннего расследования вправе принять решение о проведении внеплановой проверки соответствия обработки персональных данных в Правительстве области установленным требованиям к защите персональных данных;

- осуществляет контроль исполнения предписанных комиссией по внутреннему расследованию мер по устранению последствий соответствующего инцидента, мер направленных на предотвращение возникновения подобных инцидентов."

1.1.2. В разделе II:

подпункт 2.3.4 изложить в следующей редакции:

"2.3.4. Персональные данные лиц, претендующих на замещение государственных должностей области в Правительстве области, должностей государственной гражданской службы области, иных должностей, хранятся в отделе государственной службы и кадров управления государственной службы, кадров и наградной деятельности Департамента управления делами Правительства области:

- на бумажных и электронных носителях в течение трех лет со дня их получения, после чего подлежат уничтожению;

- в государственной информационной системе "Автоматизированная система учета кадрового резерва Вологодской области" в течение срока эксплуатации информационной системы и срока хранения, установленного оператором информационной системы.";

абзац пятый подпункта 2.5.2 изложить в следующей редакции:

"в государственной информационной системе Вологодской области "Обращения граждан" - в течение срока эксплуатации информационной системы и срока хранения, установленного оператором информационной системы."

1.1.3. В абзаце втором пункта 4.10 раздела IV после слов "обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке" дополнить словами "в соответствии с требованиями части 3 статьи 6 Федерального закона "О персональных данных"".

1.2. В пункте 7 Правил рассмотрения запросов субъектов персональных данных и их представителей (приложение 2), утвержденных указанным постановлением:

абзац второй изложить в следующей редакции:

"Департамент управления делами Правительства области и Департамент внутренней политики Правительства области рассматривают запросы с соблюдением требований Федерального закона "О персональных данных", Федерального закона от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и настоящих Правил в срок, не превышающий десяти рабочих дней с даты получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока представления запрашиваемой информации.";

в абзаце третьем слова ", в журнале учета запросов субъектов персональных данных или их представителей" исключить;

абзац четвертый изложить в следующей редакции:

"Ответ, подготовленный по результатам рассмотрения запроса, направляется субъекту персональных данных или его представителю в той форме, в которой направлен соответствующий запрос, если иное не указано в запросе."

1.3. В Правилах осуществления внутреннего контроля соответствия обработки персональных данных в Правительстве области требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Правительства области (приложение 3), утвержденных указанным постановлением:

пункт 2 изложить в следующей редакции:

"2. Внутренний контроль соответствия обработки персональных данных установленным требованиям законодательства Российской Федерации в сфере персональных данных проводится в виде проверок условий обработки персональных данных в структурных подразделениях Правительства области, обрабатывающих персональные данные (далее - проверки).";

пункт 4 изложить в следующей редакции:

"4. Проверки проводятся на основании ежегодного плана проверок соответствия обработки персональных данных в Правительстве области установленным требованиям к защите персональных данных (плановые проверки).

Проверки проводятся также на основании поступившего в Правительство области письменного заявления о нарушениях правил обработки персональных данных или решения лица, ответственного за организацию обработки персональных данных в Правительстве области, по результатам внутреннего расследования произошедшего инцидента (внеплановые проверки).";

пункт 7 дополнить словами "либо принятия решения о проведении внеплановой проверки по результатам внутреннего расследования произошедшего инцидента."

1.4. Перечень информационных систем персональных данных Правительства области (приложение 5), утвержденный указанным постановлением, изложить в новой редакции согласно приложению к настоящему постановлению.

2. Настоящее постановление вступает в силу со дня официального опубликования.

Губернатор области

О.А. Кувшинников