Приложение N 5. Правила рассмотрения в Государственном комитете Республики Башкортостан по делам юстиции запросов субъектов персональных данных или их представителей. Приказ Государственного комитета Республики Башкортостан по делам юстиции от 06.04.2023 N 85 "Об утверждении документов, направленных на обеспечение работы с персональными данными в Государственном комитете Республики Башкортостан по делам юстиции" (с изменениями и дополнениями)

Приложение N 5
к приказу Государственного комитета
Республики Башкортостан
по делам юстиции
от 6 апреля 2023 года N 85

Правила
рассмотрения в Государственном комитете Республики Башкортостан по делам юстиции запросов субъектов персональных данных или их представителей

1. Общие положения

1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Трудовым кодексом Российской Федерации и служат для организации работы по приему, регистрации и рассмотрению поступивших в Государственный комитет Республики Башкортостан по делам юстиции (далее - Комитет) запросов субъектов персональных данных или их представителей (далее - запрос).

1.2. Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам рассмотрения запросов субъектов персональных данных или их представителей.

2. Права субъекта персональных данных

2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных в Комитете;

правовые основания и цели обработки персональных данных;

цели и применяемые Комитетом способы обработки персональных данных;

наименование и место нахождения Комитета, сведения о лицах (за исключением сотрудников Комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество (последнее - при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка поручена или будет поручена такому лицу;

информацию о способах исполнения Комитетом обязанностей, установленных статьей 18.1 Федерального закона "О персональных данных";

иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

2.2. Субъект персональных данных или его представитель вправе обратиться в Комитет с запросом, в целях уточнения персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

2.3. Изменение персональных данных, содержащихся в записи акта гражданского состояния осуществляется в порядке, предусмотренном федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

2.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральным законом "О персональных данных".

2.5. Если субъект персональных данных считает, что Комитет осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Комитета в уполномоченном органе по защите прав субъектов персональных данных (далее - Уполномоченный орган) или в судебном порядке.

3. Порядок работы с запросами субъектов персональных данных

3.1. Запрос подается в Комитет лично по адресу: г. Уфа, ул. Цюрупы, 38, в отделы записи актов гражданского состояния Комитета (далее - отдел ЗАГС), либо направляется по почте, или с использованием средств сети Интернет и электронной почты.

3.2. Комитетом принимаются к рассмотрению запросы, полученные от субъекта персональных данных или его представителя в письменном виде, либо в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. Запрос заполняется по формам, приведенным в приложениях N 1, 2, 3 к настоящим Правилам, либо в свободной форме.

3.3. Прием запросов в Комитете, при личном обращении, осуществляет руководитель службы по работе с обращениями граждан и ведению делопроизводства Комитета (далее - руководитель службы).

3.4. Субъект персональных данных предъявляет руководителю службы документ, удостоверяющий личность, а, в случае обращения его представителя - документ, удостоверяющий личность представителя и документы, подтверждающие полномочия представителя, передает запрос и сообщает сведения, подтверждающие участие субъекта персональных данных в отношениях с Комитетом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Комитетом.

3.5. В случае обращения субъекта персональных данных с запросом в отдел ЗАГС, начальник отдела ЗАГС удостоверяет личность обратившегося на основании документа, удостоверяющего личность (в случае обращения представителя - удостоверяет его личность и проверяет полномочия), принимает запрос и в срок не позднее трех рабочих дней направляет его в центральный аппарат Комитета. К запросу прилагаются копии документов, имеющихся в отделе ЗАГС по данному запросу.

3.6. Все обращения субъектов персональных данных в день их поступления подлежат регистрации и учету наряду с остальными входящими документами. Кроме того, такое обращение фиксируется руководителем службы или начальником отдела ЗАГС в "Журнале учета обращений субъектов персональных данных и их представителей" (далее - Журнал), оформленному согласно приложению N 7 к настоящим Правилам.

3.7. Если запрос удовлетворяет требованиям, предусмотренным пунктами 3.2 и 3.5 настоящих Правил, он передается председателю Комитета, а его копия - председателю Комиссии по обеспечению защиты персональных данных (далее - Комиссия).

3.8. Председатель Комиссии передает запрос для рассмотрения и подготовки проекта ответа в соответствующий отдел Комитета.

3.9. Руководитель структурного подразделения Комитета, ответственный за исполнение полученного запроса, обеспечивает рассмотрение запроса в порядке, предусмотренном Федеральным законом "О персональных данных" и осуществляет подготовку проекта ответа в срок, не превышающий десяти рабочих дней с момента поступления запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Комитетом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

3.10. В случае, если для подготовки ответа на запрос необходима дополнительная информация из отдела ЗАГС, такая информация представляется начальником отдела ЗАГС в срок не позднее пяти рабочих дней с момента истребования сведений.

3.11. Ответ на запрос субъекту персональных данных направляется в форме электронного документа, по адресу электронной почты, указанному в запросе, или заказным письмом с уведомлением по почтовому адресу, указанному в запросе, в срок, не превышающий десяти рабочих дней с момента получения такого запроса согласно приложениям N 4, 5, 6 к настоящим Правилам.

3.12. Сведения предоставляются субъекту персональных данных или его представителю в той форме, в которой направлен соответствующий запрос, если иное не указано в запросе. В предоставляемых сведениях не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3.13. Комитет предоставляет субъекту персональных данных или его представителю возможность ознакомления с обрабатываемыми персональными данными в течение десяти рабочих дней со дня получения соответствующего запроса.

3.14. При рассмотрении запросов Комитетом обеспечивается:

объективное, всестороннее и своевременное рассмотрение запроса;

принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;

направление письменных ответов по существу запроса.

3.15. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и заявителю дан исчерпывающий ответ.

3.16. В случае отказа в предоставлении информации о персональных данных Комитет в срок до тридцати календарных дней дает мотивированный ответ со ссылкой на положения нормативных документов, являющиеся основанием для такого отказа.

3.17. О результатах рассмотрения запроса ответственный исполнитель информирует руководителя структурного подразделения Комитета, которым делается соответствующая отметка в Журнале.

3.18. В случае, если сведения, указанные в пункте 2.1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Комитет или направить ему повторный запрос в целях получения сведений, указанных в пункте 2.1 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать календарных дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по котором является субъект персональных данных.

3.19. Субъект персональных данных вправе обратиться повторно к Комитету или направить ему повторный запрос в целях получения сведений, указанных в пункте 2.1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 3.18 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

3.20. Комитет вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 3.18 и 3.19 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Комитете.

4. Порядок действий Комитета по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

4.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо Уполномоченного органа руководитель соответствующего структурного подразделения Комитета в срок не позднее одного рабочего дня сообщает Председателю Комиссии о выявленных нарушениях и в срок, не превышающий трех рабочих дней осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных или обеспечивает их блокирование, если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета.

4.2. В соответствии с Федеральным законом "О персональных данных" обработка персональных данных считается неправомерной в следующих случаях:

отсутствуют правовые основания для обработки персональных данных в соответствии со статьей 6 Федерального закона "О персональных данных";

осуществляется обработка персональных данных после достижения целей обработки;

осуществляется хранение персональных данных дольше чем того требуют цели обработки персональных данных либо установленные номенклатурой дел Комитета сроки хранения носителей персональных данных;

обрабатываются персональные данные избыточные по отношению к целям обработки персональных данных.

4.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Комитетом или лицом, действующим по поручению Комитета, руководитель соответствующего структурного подразделения Комитета в срок не позднее одного рабочего дня сообщает Председателю Комиссии о выявленных нарушениях и в срок, не превышающий трех рабочих дней с даты выявления неправомерной обработки персональных данных, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Комитета. В случае, если обеспечить правомерность обработки персональных данных невозможно, руководитель соответствующего структурного подразделения Комитета в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные в соответствии с порядком уничтожения персональных данных, установленных Правилами обработки персональных данных в Государственном комитете Республики Башкортостан по делам юстиции или обеспечить их уничтожение.

4.4. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Уполномоченного органа руководитель соответствующего структурного подразделения Комитета в срок не позднее одного рабочего дня сообщает Председателю Комиссии о выявленных нарушениях и в срок, не превышающий трех рабочих дней осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

4.5. В случае подтверждения факта неточности персональных данных руководитель соответствующего структурного подразделения Комитета на основании сведений, представленных субъектом персональных данных или его представителем либо Уполномоченным органом, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

4.6. Об устранении допущенных нарушений или об уничтожении персональных данных Комитет обязан уведомить субъекта персональных данных или его представителя, направив субъекту персональных данных или его представителю уведомление по форме приложения N 5 к настоящим Правилам, а в случае, если обращение субъекта персональных данных или его представителя либо запрос Уполномоченного органа были направлены Уполномоченным органом, также указанный орган.

4.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Комитет обязан с момента выявления такого инцидента Комитетом, Уполномоченным органом или иным заинтересованным лицом уведомить Уполномоченный орган:

в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Комитетом на взаимодействие с Уполномоченным органом, по вопросам с выявленным инцидентом;

в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

4.8. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", осуществляется ответственным за организацию обработки персональных данных в Комитете либо Комиссией.

4.9. Оценка вреда, который может быть причинен субъектам персональных данных определяется в соответствии с Требованиями к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 года N 178 "Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

4.10. Блокирование персональных данных осуществляется посредством изъятия из обработки бумажных носителей персональных данных, относящихся к субъекту персональных данных. Блокирование персональных данных, обрабатываемых в информационных системах персональных данных, осуществляется посредством блокировки доступа к файлам и карточкам контрагентов в прикладном программном обеспечении.

4.11. Председатель Комиссии инициирует проведение служебной проверки и организует принятие мер по устранению выявленных недостатков.

5. Контроль за соблюдением порядка рассмотрения запросов субъектов персональных данных или их представителей

5.1. Председатель Комиссии осуществляет непосредственный контроль за соблюдением порядка рассмотрения запросов, установленного законодательством и настоящими Правилами.

5.2. Председатель Комитета осуществляет контроль за работой с запросами и за организацией их приема как лично, так и через своего заместителя, и службу по работе с обращениями граждан и ведению делопроизводства.

5.3. Контроль осуществляется за соблюдением сроков исполнения поручений по запросам, полнотой рассмотрения поставленных вопросов, объективностью проверки фактов, изложенных в запросах, законностью и обоснованностью принятых по ним решений.

5.4. Нарушение установленных правил рассмотрения запросов влечет ответственность должностных лиц в соответствии с законодательством Российской Федерации.