Приложение N 1. Правила обработки персональных данных в министерстве экономического развития Рязанской области. Приказ Министерства экономического развития Рязанской области от 29.07.2022 N 214 "Об утверждении организационно-распорядительной документации по организации обработки и защите персональных данных в министерстве экономического развития Рязанской области" (с изменениями и дополнениями)

Приложение N 1
к приказу
министерства
экономического развития
Рязанской области
от 29 июля 2022 г. N 214

Правила
обработки персональных данных в министерстве экономического развития Рязанской области

С изменениями и дополнениями от:

20 февраля 2023 г.

1. Общие положения

1.1. Правила обработки персональных данных в министерстве экономического развития Рязанской области (далее - Правила) разработаны на основании требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и устанавливают порядок обработки персональных данных в министерстве экономического развития Рязанской области (далее - Министерство), процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Обработка персональных данных должна осуществляться на законной и справедливой основе.

1.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

1.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

1.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

1.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных персональных данных.

1.8. В настоящих Правилах используются следующие основные понятия:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

- оператор - Министерство, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- конфиденциальность персональных данных - обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

- информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

- информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

- доступ к информации - возможность получения информации и ее использования;

- обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, или в установленных законодательством Российской Федерации случаях ее материальный носитель;

- под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (оперативные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;

- базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью объекта информатизации.

Иные понятия в данных Правилах используются в значениях, определенных действующим законодательством Российской Федерации, либо их значение дается по тексту.

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

2.1. К процедурам, направленным на предотвращение и выявление нарушений законодательства Российской Федерации в отношении обработки персональных данных и устранение таких последствий, относятся:

- осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", (далее - Федеральный закон) и принятым в соответствии с ним нормативным правовым актом;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

- ознакомление государственных гражданских служащих Министерства, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, и настоящими Правилами.

2.2. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивают установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

3. Цели обработки персональных данных

3.1. Целями обработки персональных данных в Министерстве являются:

- обеспечение соблюдения норм действующего трудового законодательства и законодательства о противодействии коррупции;

- обеспечение вопросов награждения государственными наградами Российской Федерации, наградами Рязанской области, поощрений Губернатора Рязанской области;

- обеспечение закупок, изготовление печатной продукции для государственных нужд Министерства;

- обеспечение объективного, всестороннего и своевременного рассмотрения обращений граждан в установленном законом порядке;

- осуществление контроля за сроками исполнения поручений в автоматизированной системе электронного документооборота;

- формирование налоговой, бюджетной отчетности, отчетности во внебюджетные фонды по оплате труда, осуществление начислений выплат и компенсаций, предусмотренных действующим законодательством Российской Федерации, нормативными правовыми актами Губернатора Рязанской области, Правительства Рязанской области, ведение персонифицированного учета сотрудников Министерства и награжденных лиц;

- подготовка информационно-аналитических материалов к визитам Губернатора Рязанской области в субъекты Российской Федерации, муниципальные образования Рязанской области, учреждения, организации и на предприятия Рязанской области;

- обеспечение приема на территории Рязанской области высших должностных лиц Российской Федерации, руководителей федеральных органов государственной власти, руководителей субъектов Российской Федерации, представителей иностранных государств, международных организаций, корпораций, политических партий, общественных объединений и религиозных конфессий;

- формирование справочных материалов для внутреннего информационного обеспечения деятельности Министерства.

4. Порядок обработки персональных данных субъектов персональных данных, осуществляемой с использованием средств автоматизации, содержание персональных данных

4.1. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем реализации следующих мер:

- в отношении каждой категории персональных данных определяются места хранения персональных данных (материальных носителей) и устанавливается перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

- при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключение несанкционированного доступа к ним.

4.2. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем принятия необходимых правовых, организационных и технических мер или обеспечения их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.3. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.

4.4. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

4.5. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети "Интернет", не допускается.

4.6. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных должен требовать обязательного прохождения процедуры идентификации и аутентификации.

4.7. Структурными подразделениями Министерства (должностными лицами), ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:

- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности персональных данных;

- знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

4.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.

Информация об изменениях:

Раздел 4 дополнен пунктом 4.9. - Приказ Министерства экономического развития Рязанской области от 20 февраля 2023 г. N 64

4.9. Министерство экономического развития Рязанской области использует средство "Яндекс.Метрика" для сбора сведений об использовании официального сайта министерства экономического развития Рязанской области (далее - Сайт), таких как частота посещения Сайта пользователями, посещенные страницы и сайты, на которых были пользователи до перехода на Сайт. Яндекс.Метрика собирает IP-адреса, назначенные в день посещения Сайта. Имя или другие идентификационные сведения пользователей в Яндекс.Метрику не передаются. Яндекс.Метрика размещает постоянный cookie-файл в веб-браузере для идентификации в качестве уникального пользователя при следующем посещении Сайта. Сведения, собранные с помощью cookie-файла, передаются и хранятся на серверах компании Яндекс. Возможности Яндекс по использованию и передаче третьим лицам сведений, собранных средством Яндекс.Метрики о посещениях пользователями Сайта, ограничиваются Политикой конфиденциальности Яндекс.

5. Порядок обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации

5.1. Обработка персональных данных без использования средств автоматизации уполномоченным должностным лицом осуществляется на материальных (бумажных) носителях персональных данных для целей, указанных в настоящих Правилах.

5.2. При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, (далее - типовая форма) должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;

- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.3. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности о