Приложение N 1. Правила обработки персональных данных в Министерстве природных ресурсов и экологии Чувашской Республики. Приказ Министерства природных ресурсов и экологии Чувашской Республики от 08.02.2023 N 53 "О реализации мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, Министерством природных ресурсов и экологии Чувашской Республики" (с изменениями и дополнениями)

Приложение N 1
к приказу Министерства природных
ресурсов и экологии
Чувашской Республики
от 08.02.2023 N 53

Правила
обработки персональных данных в Министерстве природных ресурсов и экологии Чувашской Республики

I. Общие положения

1.1. Настоящие Правила обработки персональных данных в Министерстве природных ресурсов и экологии Чувашской Республики (далее - Правила) разработаны в соответствии с Трудовым кодексом Российской Федерации, федеральными законами от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.2. Правила определяют порядок и условия обработки персональных данных в Министерстве природных ресурсов и экологии Чувашской Республики (далее - Министерство) с использованием средств автоматизации и без использования таких средств.

1.3. Перечень персональных данных, обрабатываемых в Министерстве в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций, утверждается приказом Министерства.

1.4. Обработка персональных данных в Министерстве осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия государственному гражданскому служащему Чувашской Республики в прохождении государственной гражданской службы Чувашской Республики в Министерстве (далее соответственно - гражданский служащий, гражданская служба), обеспечения личной безопасности гражданских служащих и членов их семей, кандидатов на замещение вакантных должностей гражданской службы и членов их семей, руководителей организаций, находящихся в ведении Министерства и членов их семей, кандидатов на замещение вакантных должностей руководителей организаций, находящихся в ведении Министерства и членов их семей, физических лиц при предоставлении Министерством государственных услуг и исполнении государственных функций (далее - субъекты персональных данных).

1.5. Доступ к персональным данным в Министерстве и их обработка осуществляются только уполномоченными должностными лицами, перечень должностей которых утверждается приказом Министерства (далее - уполномоченное должностное лицо).

II. Порядок обработки персональных данных гражданских служащих Министерства

2.1. Обработка персональных данных гражданских служащих Министерства осуществляется с их письменного согласия, которое действует со дня их поступления на гражданскую службу на время прохождения гражданской службы.

2.2. Представитель нанимателя в лице министра природных ресурсов и экологии Чувашской Республики (далее - представитель нанимателя), а также уполномоченные должностные лица, обеспечивают защиту персональных данных субъектов персональных данных от неправомерного их использования или утраты.

2.3. Обработка персональных данных субъектов персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.

2.4. При обработке персональных данных в целях реализации возложенных на Министерство полномочий уполномоченные должностные лица обязаны соблюдать следующие требования:

а) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

б) защита персональных данных от их неправомерного использования или утраты обеспечивается за счет средств Министерства в порядке, установленном Федеральным законом "О государственной гражданской службе Российской Федерации" и другими федеральными законами;

в) передача персональных данных субъектов персональных данных третьей стороне не допускается без их письменного согласия, за исключением случаев, установленных федеральными законами.

В случае отказа в предоставлении информации о наличии персональных данных о субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Министерство обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя;

г) обеспечение конфиденциальности персональных данных субъектов персональных данных, за исключением случаев, установленных федеральным законом;

д) хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

е) опубликование и распространение персональных данных субъектов персональных данных допускается в случаях, установленных законодательством Российской Федерации, с их письменного согласия.

2.5. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:

а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных федеральным законом;

в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона "О персональных данных". Гражданский служащий при отказе представителя нанимателя или уполномоченного им лица исключить или исправить персональные данные гражданского служащего имеет право заявить в письменной форме представителю нанимателя или уполномоченному им лицу о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера гражданский служащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

г) требовать от представителя нанимателя или уполномоченного им должностного лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные гражданского служащего, обо всех произведенных в них изменениях или исключениях из них;

д) обжаловать в суд любые неправомерные действия или бездействие представителя нанимателя или уполномоченного им должностного лица при обработке и защите персональных данных гражданского служащего.

2.6. В соответствии с частью 3 статьи 6 Федерального закона "О персональных данных" по поручению Министерства обработку персональных данных гражданских служащих осуществляет Администрация Главы Чувашской Республики и казенное учреждение Чувашской Республики "Республиканский центр бухгалтерского учета".

III. Порядок обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации

3.1. При обработке персональных данных субъектов персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

3.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Министерство полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество (при наличии) и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

3.3. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

IV. Порядок обработки персональных данных субъектов персональных данных в информационных системах

4.1. Обработка персональных данных в Министерстве осуществляется в соответствии с законодательством Российской Федерации, законодательством Чувашской Республики, правовыми актами Министерства о создании, введении в эксплуатацию и инструкцией по эксплуатации соответствующей информационной системы и иными правовыми актами по отдельным вопросам, касающимся обработки персональных данных.

4.2. Обработка персональных данных допускается после:

а) назначения уполномоченных должностных лиц, ответственных за обработку персональных данных в соответствующих информационных системах;

б) утверждения перечня должностей гражданских служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным соответствующей информационной системы;

в) ознакомления уполномоченных должностных лиц с положениями законодательства Российской Федерации о персональных данных, другими правовыми актами, регулирующими работу с персональными данными.

4.3. Перечень информационных систем персональных данных Министерства утверждается приказом Министерства.

4.4. Персональные данные могут быть представлены для ознакомления

а) в части, касающейся исполнения их должностных обязанностей;

б) в порядке, установленном законодательством Российской Федерации.

4.5. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

4.6. При обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты.

Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

4.7. Доступ уполномоченных должностных лиц (операторов информационной системы) к персональным данным в информационных системах персональных данных Министерства должен требовать обязательного прохождения процедуры идентификации и аутентификации.

4.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах Министерства структурным подразделением Министерства, к компетенции которого отнесены вопросы обеспечения безопасности информации, принимаются меры по установлению причин нарушений и их устранению.

V. Условия и порядок обработки персональных данных субъектов персональных данных в связи с предоставлением государственных услуг и исполнением государственных функций

5.1. В Министерстве обработка персональных данных физических лиц осуществляется в целях предоставления государственных услуг и исполнения государственных функций.

5.2. Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в Министерстве подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

5.3. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", федеральными законами от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими предоставление государственных услуг и исполнение государственных функций в установленной сфере ведения Министерства.

5.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется структурными подразделениями Министерства, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в Министерство для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:

а) получения оригиналов необходимых документов (заявление);

б) заверения копий документов;

в) внесения сведений в учетные формы (на бумажных и электронных носителях).

5.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

При предоставлении государственной услуги или исполнении государственной функции Министерством запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

5.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Министерства, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

5.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Министерством осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

VI. Сроки обработки персональных данных и порядок их уничтожения при достижении целей обработки или при наступлении иных законных оснований

6.1. Министерство осуществляет обработку (в том числе автоматизированную) персональных данных кандидатов на замещение вакантных должностей руководителей организаций, находящихся в ведении Министерства, в том числе при формировании кадрового резерва, а также иных лиц.

6.2. Структурным подразделением Министерства, к компетенции которого отнесены кадровые вопросы, осуществляется:

обработка персональных данных руководителей организаций, находящихся в ведении Министерства, уволенных с работы, - в течение 10 лет со дня их увольнения, после чего личные дела передаются в архив;

обработка персональных данных кандидатов на замещение вакантных должностей руководителей организаций, находящихся в ведении Министерства, - в течение трех лет со дня завершения конкурса на замещение вакантной должности руководителя организации, находящейся в ведении Министерства (далее - конкурс).

6.3. Документы кандидатов на замещение вакантной должности руководителя организации, находящейся в ведении Министерства, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, возвращаются им по письменному заявлению в течение трех лет со дня завершения конкурса. До истечения этого срока документы хранятся в архиве Министерства, после чего подлежат уничтожению.

Факт уничтожения персональных данных, хранящихся в документах кандидатов на замещение вакантной должности руководителя организации, находящейся в ведении Министерства, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, оформляется актом об уничтожении документов Министерства.

6.4. Документы, указанные в пункте 6.3 настоящих Правил, предоставляются субъекту персональных данных или его представителю Министерством в течение десяти рабочих дней с момента обращения либо получения Министерством запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.5. Личные дела руководителей организаций, находящихся в ведении Министерства, уволенных с работы, хранятся структурным подразделением Министерства, к компетенции которого отнесены кадровые вопросы, в течение десяти лет со дня увольнения с работы, после чего передаются в архив.

Если гражданин, личное дело которого хранится структурным подразделением Министерства, к компетенции которого отнесены кадровые вопросы, поступит на иную работу, его личное дело подлежит передаче в организацию по новому месту работы.

6.6. Персональные данные иных лиц хранятся уполномоченными должностными лицами до минования их надобности, после чего подлежат уничтожению.

VII. Лицо, ответственное за организацию обработки персональных данных

7.1. Лицо, ответственное за организацию обработки персональных данных в Министерстве (далее - ответственный за обработку персональных данных), назначается приказом Министерства.

7.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.

7.3. Ответственный за обработку персональных данных обязан:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Министерстве, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением гражданскими служащими, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения гражданских служащих, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;

4) в случае нарушения в Министерстве требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

7.4. Ответственный за обработку персональных данных вправе:

1) иметь доступ к информации, касающейся обработки персональных данных в Министерстве и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых в Министерстве способов обработки персональных данных;

описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Министерстве, иных гражданских служащих Министерства с возложением на них соответствующих обязанностей и закреплением ответственности.

7.5. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в Министерстве в соответствии с законодательством Российской Федерации в области персональных данных.

VIII. Внутренний контроль соответствия обработки персональных данных законодательству Российской Федерации

8.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" (далее - установленные требования), в Министерстве организовывается проведение проверок.

8.2. Проверки осуществляются на основании приказа Министерства ответственным за организацию обработки персональных данных в Министерстве либо комиссией по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных".

В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в ее результатах.

8.3. Проверки соответствия обработки персональных данных установленным требованиям проводятся не реже 1 раза в год на основании плана Министерства.

8.4. Внеплановые проверки проводятся по поручению министра природных ресурсов и экологии Чувашской Республики, а также на основании поступивших в Министерство жалоб о нарушениях правил обработки персональных данных.