Приложение N 1. Политика обработки персональных данных в службе по экологическому и технологическому надзору Республики Крым. Приказ Службы по экологическому и технологическому надзору Республики Крым от 25.11.2022 N 181-п "Об утверждении Политики обработки персональных данных в Службе по экологическому и технологическому надзору Республики Крым" (с изменениями и дополнениями)

Приложение N 1
к приказу Службы
по экологическому и технологическому
надзору Республики Крым
от 25 ноября 2022 года N 181-п

Политика обработки персональных данных в службе по экологическому и технологическому надзору Республики Крым

1.Термины и определения

Перечень сокращений:
ПДн	Персональные данные
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
НСД	Несанкционированный доступ
АИС	Автоматизированная информационная система
ИСПДн	Информационная система персональных данных
СКЗИ	Средство криптографической защиты информации
АРМ	Автоматизированное рабочее место
Политика	Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

В рамках данного документа используются следующие термины и определения:

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом (лицами) Крымтехнадзора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

Конфиденциальность персональных данных - обязанность Крымтехнадзора и его сотрудников не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящими Правилами (ПДн).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных соответствующая характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяющая осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с Федеральными законами не распространяется требование соблюдения конфиденциальности.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2. Общие положения

2.1. Настоящей Политикой обработки персональных данных (далее - Политика) в Службе по экологическому и технологическому надзору Республики Крым (далее - Крымтехнадзор) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; содержание обрабатываемых персональных данных для каждой цели обработки персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

2.2. Настоящие Правила разработаны в соответствии с:

- Статьей 24 Конституции Российской Федерации;

- Главой 14 Трудового Кодекса Российской Федерации;

- Федеральным законом Российской Федерации N 152-ФЗ "О персональных данных" от 27.07.2006;

- Федеральным законом N 149-ФЗ "Об информации, информационных технологиях и о защите информации" от 27.07.2006;

- Постановлением Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- Совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".

- Приказом ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

- Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

- Приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации Федеральных целевых программ").

- Приказом Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".

2.3. Цель разработки документа - определение порядка обработки ПДн субъектов ПДн; обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн, а также установление ответственности должностных лиц, имеющих доступ к ПДн субъектов, за невыполнение требований норм, регулирующих обработку и защиту ПДн.

2.4. Порядок ввода в действие и изменения Правил.

2.4.1. Настоящие Правила вступают в силу с момента их утверждения начальником Крымтехнадзора и действуют бессрочно, до замены их новыми Правилами.

2.4.2. Все изменения в Правила вносятся приказом.

3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2. Крымтехнадзор устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

- издание нормативных правовых актов, локальных актов Крымтехнадзора по вопросам обработки персональных данных;

- назначение ответственных за организацию обработки персональных данных;

- определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Крымтехнадзоре и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;

- ознакомление государственных гражданских служащих Крымтехнадзора, непосредственно осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Крымтехнадзора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, обеспечение обучения указанных государственных гражданских служащих Крымтехнадзора в соответствии с утвержденным в Крымтехнадзоре графиком повышения квалификации;

- получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны Крымтехнадзор извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- опубликование на официальном сайте Крымтехнадзора в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику Крымтехнадзора в отношении обработки персональных данных, реализуемые требования к защите персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Крымтехнадзора в отношении обработки персональных данных, локальным актам Крымтехнадзора.

4. Цели обработки и содержание обрабатываемых персональных данных

4.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.2. В Крымтехнадзоре обработка персональных данных осуществляется в целях:

4.2.1. Обработка персональных данных государственных гражданских служащих Крымтехнадзора производится в целях обеспечения кадровой работы, в том числе в целях содействия государственным служащим Крымтехнадзора в прохождении государственной службы, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения государственными служащими Крымтехнадзора должностных обязанностей, обеспечения личной безопасности государственных служащих Крымтехнадзора и членов их семьи, обеспечения государственным служащим Крымтехнадзора установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

4.2.2. Обработка персональных данных сотрудников должности, которых не являются должностями государственной службы Крымтехнадзора производится в целях обеспечения кадровой работы Крымтехнадзора, в том числе в целях содействия им в работе, в обучении и должностном росте, обеспечения их личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества государственного органа, учета результатов исполнения ими должностных обязанностей.

4.2.3. Обработка персональных данных водителей Крымтехнадзора производится в целях обеспечения кадровой работы Крымтехнадзора, в том числе в целях содействия им в работе, обеспечения их личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества государственного органа, учета результатов исполнения ими должностных обязанностей.

4.2.4. Обработка персональных данных граждан, включенных в кадровый резерв, производится в целях ведения кадровой работы, в том числе при формировании кадрового резерва Крымтехнадзора, а также проведении и подведение итогов конкурса на замещение вакантных должностей государственной гражданской службы.

4.2.5. Обработка персональных данных родственников государственных гражданских служащих Крымтехнадзора производится в следующих целях:

- обеспечения кадровой работы Крымтехнадзора, в том числе в целях содействия государственным гражданским служащим в работе, обеспечения их личной безопасности и членов их семей, а также в целях предоставления государственным гражданским служащим льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями, выполнение требований нормативных правовых актов органов государственного статистического учета;

- в связи с рассмотрением вопроса о предоставлении основных и дополнительных государственных гарантий, и субсидий.

4.2.6. Обработка персональных данных родственников сотрудников должности, которых не являются должностями государственной службы и водителей Крымтехнадзора производится в следующих целях:

- обеспечения кадровой работы Крымтехнадзора, в том числе в целях содействия им в работе, обеспечения их личной безопасности и членов их семей, а также в целях предоставления сотрудникам технического обслуживания и водителям льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями, выполнение требований нормативных правовых актов органов государственного статистического учета.

- в связи с рассмотрением вопроса о предоставлении основных и дополнительных государственных гарантий, и субсидий.

4.2.7. Обработка персональных данных родственников соискателей на замещение вакантной должности и лиц, включенных в кадровый резерв, производится в целях обеспечения кадровой работы Крымтехнадзора, в том числе в целях содействия им в работе, обеспечения их личной безопасности и членов их семей, а также в целях предоставления Работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями, выполнение требований нормативных правовых актов органов государственного статистического учета.

4.2.8. Обработка персональных данных физических лиц Крымтехнадзора в связи с предоставлением государственных услуг и исполнением государственных функций производится в целях предоставления следующих государственных услуг и исполнения государственных функций:

- организация приема граждан, обеспечение своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции Крымтехнадзора;

- регистрация средств массовой информации;

- разрешительная деятельность в области связи;

- осуществление деятельности по защите прав субъектов персональных данных.

4.2.9. Обработка персональных данных представителей юридических и государственных лиц, обратившихся в Крымтехнадзор, производится в целях реализации закрепленных за Крымтехнадзором полномочий, данных Правительством Российской Федерации.

4.2.10. Обработка персональных данных физических лиц, которые были получены в ходе контрольно-надзорной деятельности, производится в целях выполнения возложенных на Крымтехнадзор государственных функций по осуществлению государственного контроля (надзора).

4.2.11. Обработка персональных данных физических лиц, в отношении которых рассматриваются дела об административных правонарушениях, производится в целях рассмотрения дел об административных правонарушениях и исполнения положений об административных правонарушениях.

4.2.12. Обработка персональных данных уволенных сотрудников Крымтехнадзора производится в целях обеспечения кадровой работы Крымтехнадзора, в том числе в целях содействия им в трудоустройстве, обеспечения их личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества, предоставления информации по запросам государственных органов, выполнения требований Федерального закона от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудового Кодекса РФ.

4.2.13. Обработка персональных данных граждан, претендующих на замещение вакантных должностей в Крымтехнадзоре производится в целях обеспечения кадровой работы.

4.2.14. Обработка персональных данных физических лиц и представителей юридических лиц (и иных операторов персональных данных), участвующих в семинарах, конференциях, днях открытых дверей Крымтехнадзора производится в целях организации прохода на территорию Крымтехнадзора, направления информационных материалов.

4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.4. В Крымтехнадзоре обрабатываются следующие категории персональных данных:

- Фамилия, имя, отчество;

- паспортные данные;

- дата и место рождения;

- адрес проживания;

- информация о гражданстве;

- номер контактного телефона;

- семейное положение;

- состав семьи;

- реквизиты страхового свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты страхового медицинского полиса обязательного медицинского страхования;

- сведения о трудовой деятельности;

- отношение к воинской обязанности, сведения по воинскому учету;

- сведения об образовании;

- сведения об ученой степени, ученом звании;

- сведения о заработной плате (номера расчетного счета и банковской карты, данные договоров, размер денежного содержания);

- сведения о социальных льготах и о социальном статусе;

- сведения, подаваемые в налоговую инспекцию, пенсионный фонд, фонд социального страхования и другие учреждения;

- сведения, содержащиеся в регистрах бухгалтерского учета и внутренней бухгалтерской отчетности.

5. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения

5.1. К категориям субъектов, персональные данные которых обрабатываются в Крымтехнадзоре, относятся:

- сотрудников должности, которых не являются должностями государственной службы Крымтехнадзора;

- водители;

- соискатели на замещение вакантных должностей в Крымтехнадзоре;

- лица, включенные в кадровый резерв;

- родственники сотрудников Крымтехнадзора, являющихся государственными гражданскими служащими;

- физические лица, обратившиеся в Крымтехнадзор с обращением (в том числе за оказанием государственных услуг);

- представители юридических и государственных лиц, обратившихся в Крымтехнадзор с обращением;

- физические лица, персональные данные которых получены в ходе контрольно-надзорной деятельности Крымтехнадзора;

- физические лица, в отношении которых рассматриваются дела об административных правонарушениях;

- физические лица и представители юридических лиц (и иных операторов персональных данных), участвующие в семинарах, конференциях, днях открытых дверей.

5.2. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.

5.3. Использование персональных данных осуществляется с момента их получения Крымтехнадзором и прекращается:

- по достижении целей обработки персональных данных;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

5.4. Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел Крымтехнадзора.

6. Согласие субъекта персональных данных на обработку его персональных данных

6.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено правилами. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Крымтехнадзором.

6.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

6.3. Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

6.3.1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

6.3.2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

6.3.3. наименование или фамилию, имя, отчество и адрес Крымтехнадзора, получающего согласие субъекта персональных данных;

6.3.4. цель обработки персональных данных;

6.3.5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6.3.6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Крымтехнадзора, если обработка будет поручена такому лицу;

6.3.7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Крымтехнадзором способов обработки персональных данных;

6.3.8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

6.3.9. подпись субъекта персональных данных.

6.4. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и услуг, устанавливается Правительством Российской Федерации.

6.5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

6.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

6.7. Персональные данные могут быть получены Крымтехнадзором от лица, не являющегося субъектом персональных данных.

6.8. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения должно включать в себя:

6.8.1. Фамилию, имя, отчество (при наличии) субъекта персональных данных.

6.8.2. Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных).

6.8.3. Сведения о Крымтехнадзоре (наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных).

6.8.4. Сведения об информационных ресурсах Крымтехнадзора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.

6.8.5. Цель (цели) обработки персональных данных.

6.8.6. Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

- персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, месторождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);

- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости).

6.8.7. Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных).

6.8.8. Условия, при которых полученные персональные данные могут передаваться Крымтехнадзором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);

6.8.9. Срок действия согласия.

7. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

7.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Крымтехнадзор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

7.2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления Крымтехнадзору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

7.3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

7.4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Крымтехнадзором, которому они предоставлены субъектом персональных данных, без права распространения.

7.5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные п. 7.9, настоящих Правил, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с п. 7.9. настоящих Правил, такие персональные данные обрабатываются Крымтехнадзором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

7.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Крымтехнадзору:

7.6.1. непосредственно;

7.6.2. с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7.7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с Крымтехнадзором, определяются уполномоченным органом по защите прав субъектов персональных данных.

7.8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

7.9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Крымтехнадзором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Крымтехнадзора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

7.10. Крымтехнадзор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

7.11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

7.12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Крымтехнадзором, которому оно направлено.

7.13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Крымтехнадзору требования, указанного в п. 7.12, настоящих Правил.

7.14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящих Правил обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

7.15. Требования настоящей главы не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

8. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

8.1. В случае достижения цели обработки персональных данных Крымтехнадзор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Крымтехнадзор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральными законами.

8.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Крымтехнадзор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Крымтехнадзор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральными законами.

8.3. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных по утвержденной Крымтехнадзором форме.

9. Обязанности уполномоченных лиц на обработку персональных данных

9.1. Уполномоченные лица на получение, обработку, хранение, передачу и любое другое использование персональных данных обязаны:

- знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

- хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

- соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

9.2. При обработке персональных данных уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных запрещается:

- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

- передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации;

- снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;

- выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.

9.3. Уполномоченные лица Крымтехнадзора, осуществляющие обработку персональных данных, осуществляют такую обработку как с использованием средств автоматизации, так и без использования средств автоматизации.

9.4. Обработка персональных данных, персональных данных разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренные настоящими Правилами.

10. Права и обязанности субъекта персональных данных

10.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Крымтехнадзором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Крымтехнадзором способы обработки персональных данных;

- наименование и место нахождения Крымтехнадзора, сведения о лицах (за исключением работников Крымтехнадзора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Крымтехнадзором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Крымтехнадзора, если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения Крымтехнадзором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

10) иные сведения, предусмотренные настоящим Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

10.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 N 152-ФЗ "О персональных данных".

10.3. Субъект персональных данных вправе требовать от Крымтехнадзора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.4. Сведения, указанные в пункте 10.1 главы 10 Политики, должны быть предоставлены субъекту персональных данных Крымтехнадзором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

10.5. Сведения, указанные в пункте 10.1 главы 10 Политики, предоставляются субъекту персональных данных или его представителю Крымтехнадзором в течение десяти рабочих дней с момента обращения либо получения Крымтехнадзором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Крымтехнадзором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

10.5. Если субъект персональных данных считает, что Крымтехнадзор осуществляет обработку его персональных данных с нарушением требований Федерального закона Российской Федерации от 27 июля 2006 N 152-ФЗ "О персональных данных", или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Крымтехнадзора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

10.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10.7. Субъект персональных данных обязан:

- передавать Крымтехнадзору комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;

- своевременно сообщать уполномоченным Крымтехнадзора лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных.

10.8. В целях защиты частной жизни, личной и семейной тайны субъекты персональных данных не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

11. Обязанности Крымтехнадзора при сборе персональных данных

11.1. При сборе персональных данных Крымтехнадзор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную пунктом 10.1 главы 10 Политики.

11.2. Если предоставление персональных данных и (или) получение Крымтехнадзором согласия на обработку персональных данных являются обязательными, Крымтехнадзор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

11.3. Крымтехнадзор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей по защите персональных данных и самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

- назначение Крымтехнадзором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

- издание Крымтехнадзором документов, определяющих политику Крымтехнадзора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Крымтехнадзора не предусмотренные законодательством Российской Федерации полномочия и обязанности;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Крымтехнадзора в отношении обработки персональных данных, локальным актам Крымтехнадзора;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", соотношение указанного вреда и принимаемых Крымтехнадзором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- ознакомление работников Крымтехнадзора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Крымтехнадзора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

11.4. Крымтехнадзор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

11.5. Крымтехнадзор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.6. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

11.7. Крымтехнадзор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.