Приложение N 1. Правила обработки персональных данных в Министерстве транспорта и дорожного хозяйства Чувашской Республики. Приказ Министерства транспорта и дорожного хозяйства Чувашской Республики от 12.01.2023 N 01-03/4 "О реализации мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, Министерства транспорта и дорожного хозяйства Чувашской Республики" (с изменениями и дополнениями)

Приложение N 1
к приказу
Министерства транспорта и
дорожного хозяйства
Чувашской Республики
от 12.01.2023 N 01-03/4

Правила
обработки персональных данных в Министерстве транспорта и дорожного хозяйства Чувашской Республики

1. Общие положения

1.1. Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации, федеральными законами от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлениями Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.2. Правила определяют порядок и условия обработки персональных данных в Министерстве транспорта и дорожного хозяйства Чувашской Республики (далее - Министерство) с использованием средств автоматизации и без использования таких средств.

1.3. Обработка персональных данных в Министерстве осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия государственному гражданскому служащему Чувашской Республики в прохождении государственной гражданской службы Чувашской Республики в Министерстве (далее соответственно - гражданский служащий, гражданская служба), в обучении, должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, учета результатов исполнения им должностных обязанностей и руководителей организаций, находящихся в ведении Министерства, включая членов их семей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также для реализации полномочий, возложенных на Министерство действующим законодательством.

2. Условия и порядок обработки персональных данных в связи с реализацией служебных и трудовых отношений

2.1. Персональные данные субъектов персональных данных обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия в прохождении гражданской службы, работникам Министерства в осуществлении трудовой деятельности, содействия в выполнении осуществляемой работы, формирования кадрового резерва гражданской службы, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности гражданских служащих, работников Министерства и руководителей организаций, находящихся в ведении Министерства, включая членов их семей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества.

2.2. Обработка персональных данных гражданских служащих Министерства и руководителей организаций, находящихся в ведении Министерства, а также граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, и граждан, претендующих на замещение должности руководителя в организациях, находящихся в ведении Министерства, осуществляется без согласия указанных граждан в рамках целей, определенных пунктом 2.1. настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Федерального закона "О государственной гражданской службе Российской Федерации", Федерального закона от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции", Трудовым кодексом Российской Федерации.

2.3. Обработка специальных категорий персональных данных гражданских служащих Министерства и руководителей организаций, находящихся в ведении Министерства, а также граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, и граждан, претендующих на замещение должности руководителей в организациях, находящихся в ведении Министерства, осуществляется без согласия указанных граждан в рамках целей, определенных пунктом 2.1 настоящих Правил, в соответствии с пунктом 2.3 части 2 статьи 10 Федерального закона "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требуется письменное согласие руководителей организаций, находящихся в ведении Министерства, и граждан, претендующих на замещение должностей руководителей указанных организаций).

2.4. Обработка персональных данных гражданских служащих, руководителей организаций, находящихся в ведении Министерства, а также граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, и граждан, претендующих на замещение должностей руководителей организаций, находящихся в ведении Министерства, осуществляется при условии получения согласия указанных граждан в следующих случаях:

1) при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о гражданской службе;

2) при трансграничной передаче персональных данных;

3) при принятии решений, порождающих юридические последствия в отношении указанных граждан или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

2.5. В случаях, предусмотренных пунктом 2.4 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

2.6. Обработка персональных данных гражданских служащих Министерства и руководителей организаций, находящихся в ведении Министерства, а также граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, и граждан, претендующих на замещение должностей руководителей организаций, находящихся в ведении Министерства, осуществляется уполномоченными должностными лицами Министерства и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

2.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих Министерства и руководителей организаций, находящихся в ведении Министерства, а также граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, и граждан, претендующих на замещение должностей руководителей организаций, находящихся в ведении Министерства, осуществляется путем:

1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка и (или) сведения о трудовой деятельности, анкета, иные документы, предоставляемые уполномоченным должностным лицам Министерства);

2) копирования оригиналов документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных;

5) внесения персональных данных в информационные системы, используемые Министерством.

2.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от гражданских служащих Министерства, граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, руководителей организаций, находящихся в ведении Министерства, а также граждан, претендующих на замещение должностей руководителей организаций, находящихся в ведении Министерства.

В случае возникновения необходимости получения персональных данных гражданских служащих Министерства и руководителей организаций, находящихся в ведении Министерства, у третьей стороны, следует заранее известить об этом гражданских служащих Министерства, руководителей организаций, находящихся в ведении Министерства, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

2.9. При сборе персональных данных уполномоченное должностное лицо Министерства, осуществляющее сбор (получение) персональных данных непосредственно у гражданских служащих Министерства и руководителей организаций, находящихся в ведении Министерства, а также граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, и граждан, претендующих на замещение должностей руководителей организаций, находящихся в ведении Министерства, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

2.10. Передача (распространение, предоставление) и использование персональных данных гражданских служащих Министерства и руководителей организаций, находящихся в ведении Министерства, а также граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, и граждан, претендующих на замещение должностей руководителей организаций, находящихся в ведении Министерства, осуществляется лишь в случаях и порядке, предусмотренных законодательством Российской Федерации.

2.11. В соответствии с частью 3 статьи 6 Федерального закона "О персональных данных" по поручению Министерства обработку персональных данных гражданских служащих осуществляет Администрация Главы Чувашской Республики и казенное учреждение Чувашской Республики "Республиканский центр бухгалтерского учета".

3. Порядок обработки персональных данных гражданских служащих, иных лиц, осуществляемой без использования средств автоматизации

3.1. При обработке персональных данных гражданских служащих, иных лиц без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

3.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Министерство полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество (последнее - при наличии) и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

3.3. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

4. Порядок обработки персональных данных субъектов персональных данных в информационных системах

4.1. Персональные данные, содержащиеся в информационных системах, используемых Министерством (далее также - ИС), могут быть представлены для ознакомления:

а) сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей;

б) уполномоченным лицам в порядке, установленном законодательством Российской Федерации.

4.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

4.3. Уполномоченными должностными лицами при обработке персональных данных в ИС персональных данных должна быть обеспечена их безопасность с помощью системы защиты.

Выбор средств защиты информации для системы защиты персональных данных осуществляется уполномоченными должностными лицами в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

4.4. Доступ пользователей (операторов информационной системы) к персональным данным в ИС персональных данных Министерства должен требовать обязательного прохождения процедуры идентификации и аутентификации.

4.5. В случае выявления нарушений порядка обработки персональных данных в ИС уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.

5. Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций

5.1. В Министерстве обработка персональных данных физических лиц осуществляется в целях предоставления государственных услуг и исполнения государственных функций.

5.2. Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в Министерстве подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

5.3. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", федеральными законами от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими предоставление государственных услуг и исполнение государственных функций в установленной сфере ведения Министерства.

5.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется структурными подразделениями Министерства, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в Министерство для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:

а) получения оригиналов необходимых документов (заявление);

б) заверения копий документов;

в) внесения сведений в учетные формы (на бумажных и электронных носителях).

5.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

При предоставлении государственной услуги или исполнении государственной функции Министерством запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

5.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Министерства, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

5.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Министерством осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

6. Работа с обезличенными данными

6.1. Обезличивание персональных данных - действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

6.2. Обезличивание персональных данных может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено законодательством Российской Федерации.

6.3. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (зарегистрирован в Министерстве юстиции Российской Федерации 10 сентября 2013 г., регистрационный N 29935).

6.4. Обезличенные персональные данные не подлежат разглашению.

6.5. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

7. Сроки обработки персональных данных и порядок уничтожения персональных данных

7.1. Обработка персональных данных прекращается в следующих случаях:

по достижении целей обработки персональных данных или при утрате необходимости в их достижении;

по истечении срока обработки персональных данных, установленного при сборе персональных данных;

по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

при невозможности устранения допущенных нарушений при обработке персональных данных;

при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

при отзыве субъектом персональных данных согласия, если в соответствии с Федеральным законом "О персональных данных" обработка персональных данных допускается только с его согласия.

Обработка персональных данных прекращается в сроки, установленные законодательством Российской Федерации.

Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.2. Персональные данные хранятся в электронном виде и на бумажных носителях. В электронном виде персональные данные хранятся в информационных системах персональных данных, а также в архивных копиях баз данных информационных систем персональных данных. В бумажном виде персональные данные хранятся в составе документов и их копий, содержащих информацию о субъектах персональных данных.

7.3. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.

7.4. Персональные данные субъектов персональных данных на бумажных носителях хранятся в течение сроков их хранения, установленных законодательством Российской Федерации, законодательством Чувашской Республики, иными нормативными правовыми актами Российской Федерации и нормативными правовыми актами Чувашской Республики, а также Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. N 236 (зарегистрирован в Министерстве юстиции Российской Федерации 6 февраля 2020 г., регистрационный N 57449), с последующим формированием и передачей на постоянное хранение в архив в случаях и порядке, предусмотренных законодательством Российской Федерации.

Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

7.5. Сотрудник, ответственный за ведение делопроизводства в Министерстве, ежегодно проводит экспертизу ценности документов, в результате которой выделяет документы, содержащие персональные данные с истекшими сроками хранения, подлежащие уничтожению.

Результаты отбора документов к уничтожению оформляются актами о выделении к уничтожению документов с истекшими сроками хранения.

7.6. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании постоянно действующей экспертной комиссии Министерства, состав которой утверждается приказом Министерства (далее - экспертная комиссия).

Экспертная комиссия принимает решение о согласовании акта о выделении к уничтожению документов, не подлежащих хранению, содержащих персональные данные, который подписывается председателем экспертной комиссии и утверждается министром транспорта и дорожного хозяйства Чувашской Республики (далее - министр).

7.7. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

7.8. Сотрудник, ответственный за ведение делопроизводства в Министерстве, осуществляет контроль за процедурой уничтожения документов, содержащих персональные данные, а также уничтожение данных на электронных носителях.

7.9. Уничтожение документов, содержащих персональные данные, производится термическим или механическим (шредирование) способом.

Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Сведения об уничтожении вносятся в акт о выделении к уничтожению документов, не подлежащих хранению.

8. Лицо, ответственное за организацию обработки персональных данных

8.1. Лицо, ответственное за организацию обработки персональных данных в Министерстве (далее - ответственный за обработку персональных данных), назначается приказом Министерства.

8.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.

8.3. Ответственный за обработку персональных данных обязан:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Министерстве, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением гражданскими служащими, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения гражданских служащих, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Министерстве;

5) в случае нарушения в Министерстве требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

8.4. Ответственный за обработку персональных данных вправе:

1) иметь доступ к информации, касающейся обработки персональных данных в Министерстве и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых в Министерстве способов обработки персональных данных;

описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Министерстве, иных гражданских служащих Министерстве с возложением на них соответствующих обязанностей и закреплением ответственности.

8.5. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в Министерстве в соответствии с законодательством Российской Федерации в области персональных данных.

9. Внутренний контроль соответствия обработки персональных данных в Министерстве транспорта и дорожного хозяйства Чувашской Республики законодательству Российской Федерации

9.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" (далее - установленные требования), в Министерстве организовывается проведение проверок.

9.2. Проверки осуществляются на основании приказа Министерства ответственным за организацию обработки персональных данных в Министерстве либо комиссией по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных".

В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в ее результатах.

9.3. Проверки соответствия обработки персональных данных установленным требованиям проводятся не реже 1 раза в год на основании плана Министерства.

9.4. Внеплановые проверки проводятся по поручению министра, а также на основании поступивших в Министерство жалоб о нарушениях правил обработки персональных данных.