Приложение N 1. Правила обработки персональных данных в Государственном комитете Республики Башкортостан по делам юстиции. Приказ Государственного комитета Республики Башкортостан по делам юстиции от 06.04.2023 N 85 "Об утверждении документов, направленных на обеспечение работы с персональными данными в Государственном комитете Республики Башкортостан по делам юстиции" (с изменениями и дополнениями)

Приложение N 1
к приказу Государственного комитета
Республики Башкортостан
по делам юстиции
от 6 апреля 2023 года N 85

Правила
обработки персональных данных в Государственном комитете Республики Башкортостан по делам юстиции

1. Общие положения

1.1. Настоящие Правила обработки персональных данных в Государственном комитете Республики Башкортостан по делам юстиции (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), постановлением Правительства Российской Федерации от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Настоящие Правила устанавливают сроки обработки и хранения персональных данных, порядок их уничтожения, ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных в Государственном комитете Республики Башкортостан по делам юстиции и его структурных подразделениях (далее - Комитет).

1.3. Организацию работ по осуществлению обработки и защиты персональных данных, осуществлению контроля за соблюдением требований законодательства по персональным данным и локальных актов Комитета осуществляет Комиссия по обеспечению защиты персональных данных (далее - Комиссия).

1.4. Текущий контроль за соблюдением правил по обработке персональных данных без использования средств автоматизации осуществляют руководители структурных подразделений Комитета, в которых ведется обработка персональных данных.

1.5. Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам обработки, передачи, хранения и уничтожения персональных данных.

1.6. Сотрудники Комитета, допустившие нарушения требований нормативных правовых актов о защите персональных данных, привлекаются к ответственности в соответствии с законодательством Российской Федерации.

2. Основные понятия

2.1. В настоящих Правилах используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированное рабочее место (далее - АРМ) - программно-технический комплекс автоматизированной системы, предназначенный для автоматизации деятельности определенного вида;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

носитель - материальный объект, в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.2. Иные понятия и термины, применяемые в настоящих Правилах, используются в тех же значениях, что и в Федеральном законе "О персональных данных".

3. Общие требования к обработке персональных данных

3.1. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

3.2. Сотрудники Комитета и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.3. Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан.

3.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Оператор вправе осуществлять обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе "О персональных данных".

3.5. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Согласие представляется в письменном виде в форме отдельного документа, либо в составе какого-либо документа, подписываемого субъектом персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с федеральным законом.

3.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

3.7. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

3.8. Обязанность получения письменного согласия на обработку персональных данных субъекта персональных данных возлагается на структурное подразделение Комитета, непосредственно осуществляющее сбор персональных данных.

3.9. Комитет не вправе запрашивать у субъектов информацию об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, если иное не предусмотрено федеральным законом.

4. Порядок обработки персональных данных в информационной системе персональных данных

4.1. В информационных системах персональных данных, используемых в Комитете, соблюдается парольная защита.

4.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.3. Все машинные носители информации, на которых записана информация, содержащая персональные данные субъектов персональных данных, должны быть зарегистрированы в "Журнале учета машинных носителей информации", и иметь этикетку, на которой указывается учетный (регистрационный) номер.

4.4. При эксплуатации информационной системы, предназначенной для обработки персональных данных, пользователям запрещается:

вносить изменения в состав, конструкцию, конфигурацию и размещение технических средств информационной системы;

вносить изменения в состав программного обеспечения, структуру файловой системы;

осуществлять попытки несанкционированного доступа к ресурсам информационной системы и к информации других пользователей;

подключать информационную систему персональных данных к информационным сетям общего пользования без использования дополнительных средств защиты (сертифицированные межсетевые экраны и средства криптографической защиты данных);

использовать неучтенные машинные накопители информации.

4.5. При проведении технического обслуживания и ремонта компонентов информационной системы персональных данных, запрещается передавать указанные компоненты третьим лицам в отсутствии в соглашениях, заключаемых с этими лицами, пунктов о соблюдении конфиденциальности.

4.6. Сотрудник Комитета при обработке персональных данных в информационной системе персональных данных обязан:

при работе с АРМ использовать только установленное программное обеспечение, необходимое для выполнения должностных обязанностей сотрудника;

при обработке персональных данных на АРМ исключить возможность ознакомления посторонних лиц с электронными документами;

при отлучении с рабочего места закрывать все электронные документы, базы данных, содержащие персональные данные, блокировать АРМ;

использовать только учтенные машинные носители информации;

обеспечивать сохранность машинных носителей информации;

при повреждении и выходе из строя внешних машинных носителей сдавать их для уничтожения;

докладывать непосредственному руководителю о выявленных или допущенных нарушениях.

5. Категории, цели и содержание обрабатываемых персональных данных

Обработка персональных данных Комитетом осуществляется в зависимости от категории и целей, указанных в Перечне персональных данных, обрабатываемых в Государственном комитете Республики Башкортостан по делам юстиции, (приложение N 6 к приказу Комитета от "6" апреля 2023 года N 85 "Об утверждении документов, направленных на обеспечение работы с персональными данными в Государственном комитете Республики Башкортостан по делам юстиции" (далее - Приказ)).

6. Порядок обработки персональных данных без использования средств автоматизации

6.1. Персональные данные при их обработке без использования средств автоматизации фиксируются на отдельных носителях персональных данных, в специальных разделах или на полях форм (бланков).

6.2. Не допускается фиксация на одном носителе персональных данных, цели обработки которых заведомо не совместимы.

6.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должно соблюдаться следующее условия:

типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Комитета, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Комитетом способов обработки персональных данных;

типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

6.4. В отношении каждой категории персональных данных определяются места хранения персональных данных (носителей персональных данных) и перечень должностей государственной гражданской службы Республики Башкортостан в Государственном комитете Республики Башкортостан по делам юстиции, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным.

6.5. Сотрудник Комитета при обработке персональных данных без использования средств автоматизации обязан:

выполнять требования, установленные настоящими Правилами и Политикой обработки и защиты персональных данных в Государственном комитете Республики Башкортостан по делам юстиции;

обеспечить сохранность бумажных документов в процессе их обработки и хранения;

исключать просмотр документов, содержащих персональные данные, третьими лицами, в том числе сотрудниками Комитета, которым не предоставлен доступ к данным документам;

хранить документы на рабочем месте исключительно с целью обработки персональных данных. При достижении целей обработки сдавать документы в архив, либо осуществлять в установленном порядке уничтожение документов;

в нерабочее время бумажные документы хранить в запираемых секциях рабочих столов или в шкафах, либо в запираемом помещении.

7. Порядок и срок хранения персональных данных

7.1. Хранение персональных данных осуществляется в пределах сроков, необходимых для достижения цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, иным нормативным правовым актом или договором, стороной которого, является субъект персональных данных.

7.2. Съемные машинные носители персональных данных должны храниться в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае, если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием средств криптографической защиты информации виде, то допускается хранение таких носителей вне сейфов (металлических шкафов).

7.3. Сроки хранения персональных данных определяются Номенклатурой дел Комитета.

7.4. Срок хранения персональных данных в электронном виде не может превышать срока хранения персональных данных на бумажных носителях.

7.5. Необходимо обеспечивать раздельное хранение персональных данных (носителей персональных данных), обработка которых осуществляется в различных целях.

7.6. Места хранения носителей персональных данных определяются приказом Комитета.

7.7. Руководитель структурного подразделения Комитета, в котором ведется обработка персональных данных, осуществляет контроль за хранением и использованием носителей персональных данных с целью исключения несанкционированного использования, изменения, распространения и уничтожения персональных данных, находящихся на этих носителях.

7.8. Вынос носителей персональных данных за пределы помещения Комитета допускается исключительно по служебной необходимости с разрешения руководителя структурного подразделения Комитета.

8. Передача персональных данных

8.1. Передача персональных данных третьим лицам возможна при соблюдении следующих условий:

наличие письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами;

соблюдение лицами, получающими персональные данные субъекта персональных данных, режима конфиденциальности персональных данных.

8.2. Комитет вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия Комитетом соответствующего акта (далее - поручение Комитета). Лицо, осуществляющее обработку персональных данных по поручению Комитета, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

В поручении Комитета должны быть определены: перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона "О персональных данных", обязанность по запросу оператора персональных данных в течение срока действия поручения Комитета, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Комитета требований, установленных в соответствии со статьей 6 Федерального закона "О персональных данных", обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных", в том числе требование об уведомлении Комитета о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона "О персональных данных".

8.3. Трансграничная передача персональных данных, обрабатываемых в Комитете, допускается в случаях, предусмотренных Федеральным законом "О персональных данных" и международными договорами Российской Федерации.

8.4. Комитет передает персональные данные субъекта персональных данных третьим лицам на основании письменного запроса о предоставлении персональных данных в соответствии с Федеральным законом "О персональных данных" (далее - запрос).

В случае если запрос направляется по информационно-телекоммуникационным сетям, он должен быть подписан усиленной квалифицированной электронной подписью.

8.5. Передача персональных данных, содержащихся в записях актов гражданского состояния и заявлениях, субъектам актовых записей, заинтересованным лицам, а также органам власти и организациям осуществляется в порядке, предусмотренном Федеральным законом от 15 ноября 1997 года N 143-ФЗ "Об актах гражданского состояния", Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".

9. Доступ к персональным данным

9.1. Перечень должностей государственной гражданской службы Республики Башкортостан в Государственном комитете Республики Башкортостан по делам юстиции, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным, утверждается Приказом.

9.2. В отношении отдельных категорий персональных данных приказом Комитета возможно установление ограничения допуска сотрудников Комитета, занимающих одну должность, к обработке персональных данных.

9.3. Сотрудник Комитета, получивший доступ к персональным данным субъекта персональных данных, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

9.4. Сотрудник Комитета, допущенный к обработке персональных данных, принимает на себя обязательство в случае прекращения с ним трудовых отношений, перевода на другую работу, освобождения от работ, связанных с обработкой персональных данных субъектов персональных данных, прекратить обработку персональных данных субъектов персональных данных, ставших известными ему в связи с исполнением должностных обязанностей. Обязательство о неразглашении конфиденциальной информации (персональных данных), не содержащих сведений, составляющих государственную тайну составляется в письменном виде, по форме согласно приложению N 8 к Приказу и приобщается к личному делу сотрудника Комитета (далее - обязательство о неразглашении).

9.5. Сотрудник Комитета, допущенный к обработке персональных данных, должен быть проинформирован о характере обработки, категориях обрабатываемых персональных данных, а также об особенностях и условиях осуществления такой обработки.

9.6. Допуск к персональным данным членов внутренних комиссий, не имеющих к ним допуск, осуществляется на сновании приказа Комитета. Члены комиссий в обязательном порядке ознакамливаются с внутренними локальными актами Комитета по вопросам обработки персональных данных и подписывают обязательство о неразглашении.

9.7. Субъект персональных данных, чьи персональные данные обрабатываются Комитетом имеет право на доступ к своим персональным данным в соответствие со статьей 14 Федерального закона "О персональных данных".

10. Порядок уничтожения персональных данных

10.1. Обрабатываемые в Комитете персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами.

10.2. Отделами Комитета ежегодно осуществляется выделение документов, содержащих персональные данные, которые подлежат уничтожению с составлением Акта о выделении к уничтожению информации, содержащей персональные данные, составленного по форме согласно приложению N 14 к Приказу. Акт, передается на рассмотрение Центральной экспертной комиссии Комитета (далее - ЦЭК).

10.3. Решение об уничтожении выделенных документов, содержащих персональные данные, о порядке и способах уничтожении принимается ЦЭК.

10.4. Отделами Комитета осуществляется ежегодное составление списка субъектов персональных данных, персональные данные которых обрабатываются в информационных системах персональных данных и подлежат уничтожению. Списки передаются на рассмотрение в Комиссию.

10.5. Решение об уничтожении персональных данных, обрабатываемых в информационных системах персональных данных, о порядке и способах уничтожения принимается Комиссией.

10.6. Уничтожение бумажных носителей персональных данных осуществляется путем сожжения, либо измельчения в бумагоуничтожающей машине.

10.7. При необходимости уничтожения части персональных данных, уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

10.8. Уничтожение машинных носителей информации производится следующими способами:

оптические диски и дискеты - путем оплавления в бесформенную массу;

флэш накопители - путем ударно-механического повреждения основной платы, на которой располагается флэш память;

накопитель на жестком магнитном диске - путем измельчения магнитных дисков.

10.9. Уничтожение персональных данных субъектов персональных данных оформляется Актом об уничтожении персональных данных составленным по форме согласно приложению N 15 к Приказу. Акт об уничтожении персональных данных направляется в Комиссию.

10.10. В случае, если обработка персональных данных осуществляется с использованием средств автоматизации, то уничтожение персональных данных субъектов персональных данных оформляется Актом об уничтожение персональных данных составленным по форме согласно приложению N 15 к Приказу, а также выгрузкой из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).

10.11. Выгрузка из журнала должна содержать:

фамилию, имя, отчество (последнее - при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

причину уничтожения персональных данных;

дату уничтожения персональных данных субъекта (субъектов) персональных данных.

10.12. В случае, если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 10.11 настоящих Правил, недостающие требования вносятся в акт об уничтожении персональных данных.

10.13. Для удаления персональных данных с машинных носителей информации используются программные средства, в которых используются алгоритмы гарантированного удаления данных.

10.14. Для удаления персональных данных из электронных баз данных применяются методы обезличивания персональных данных с целью невозможности определить принадлежность персональных данных конкретному субъекту персональных данных в соответствии с Правилами работы с обезличенными персональными данными в Государственном комитете Республики Башкортостан по делам юстиции.

11. Ответственность за неисполнение (ненадлежащее исполнение) настоящих Правил

Сотрудники Комитета несут ответственность за ненадлежащее исполнение или неисполнение настоящих Правил в соответствии с действующим законодательством Российской Федерации и локальными актами Комитета.