Приложение 1. Положение об организации обработки и обеспечения безопасности персональных данных в управлении имущественных отношений Алтайского края. Приказ управления имущественных отношений Алтайского края от 18.04.2023 N 52 "Об организации обработки и обеспечения безопасности персональных данных в управлении имущественных отношений Алтайского края" (с изменениями и дополнениями)

Приложение 1

УТВЕРЖДЕНО
приказом управления
имущественных отношений
Алтайского края
от 18.04.2023 N 52

Положение
об организации обработки и обеспечения безопасности персональных данных в управлении имущественных отношений Алтайского края

1. Общие положения

1.1. Положение об организации обработки и обеспечения безопасности персональных данных в управлении имущественных отношений Алтайского края (далее - Положение) разработано в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и другими нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обработкой и обеспечением безопасности персональных данных.

1.2. Положение определяет политику управления имущественных отношений Алтайского края (далее - Алтайкрайимущество) в отношении обработки и защиты персональных данных в соответствии с принципами и условиями, предусмотренными законодательством Российской Федерации в области персональных данных.

1.3. Понятия и термины, используемые в Положении, применяются в соответствии со значениями понятий и терминов, определенными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

1.4. В Алтайкрайимуществе персональные данные обрабатываются в целях:

1.4.1. реализации служебных (трудовых) отношений;

1.4.2. выполнения возложенных на Алтайкрайимущество функций, полномочий и обязанностей;

1.4.3. осуществления статистических или иных исследовательских целей.

1.5. К категориям субъектов, персональные данные которых обрабатываются в соответствии с Положением, относятся:

1.5.1. государственные гражданские служащие Алтайкрайимущества (далее - государственные служащие), работники Алтайкрайимущества, замещающие должности, не являющиеся должностями государственной гражданской службы (далее - работники), руководители подведомственных организаций, граждане, претендующие на замещение должностей государственной гражданской службы в Алтайкрайимуществе (далее - государственная служба), должностей, не являющихся должностями государственной службы, должностей руководителей подведомственных организаций, а также члены их семей;

1.5.2. граждане, в том числе являющиеся представителями организаций, обратившиеся в Алтайкрайимущество (далее - граждане, заявители) в связи с исполнением возложенных на Алтайкрайимущество функций, полномочий и обязанностей (далее - государственные функции).

1.5.3. лица, представленные к награждению (поощрению), в отношении которых в Алтайкрайимущество внесены соответствующие ходатайства, кандидаты в Общественный совет при Алтайкрайимуществе.

1.6. В целях реализации служебных (трудовых) отношений в Алтайкрайимуществе обрабатываются персональные данные субъектов, указанных в подпункте 1.5.1 пункта 1.5 Положения, перечисленные в пунктах 1-39 Перечня персональных данных, утверждённого настоящим приказом (далее - Перечень).

1.7. В целях выполнения возложенных на Алтайкрайимущество государственных функций обрабатываются персональные данные субъектов, указанных в подпунктах 1.5.2 и 1.5.3 пункта 1.5 Положения, перечисленные в пунктах 1-10, 12, 14-17, 20, 23, 24, 28, 29, 39 Перечня.

1.8. В статистических или иных исследовательских целях обрабатываются персональных данные субъектов, перечисленные в пунктах 3, 4, 7-9, 12-15, 19, 20, 27, 31-36, 39 Перечня.

2. Условия и порядок обработки персональных данных в связи с реализацией служебных (трудовых) отношений

2.1. Персональные данные субъектов, указанные в подпункте 1.5.1 пункта 1.5 Положения, обрабатываются в целях реализации служебных (трудовых) отношений, в том числе в следующих целях:

содействия государственным служащим в прохождении государственной службы (работникам, руководителям подведомственных Алтайкрайимуществу организаций в целях содействия выполнению работы);

формирования кадрового резерва государственной службы;

обучения и должностного роста;

учета результатов исполнения государственными служащими и работниками, лицами, замещающими должности руководителей подведомственных Алтайкрайимуществу организаций, должностных (трудовых) обязанностей;

обеспечения государственным служащим и работникам Алтайкрайимущества установленных законодательством Российской Федерации условий труда, гарантий и компенсаций;

противодействия коррупции.

2.2. Обработка персональных данных субъектов, указанных в подпункте 1.5.1 пункта 1.5 Положения, осуществляется без согласия указанных лиц в целях, определенных пунктом 2.1 Положения, в соответствии с положениями Трудового кодекса Российской Федерации, пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", федеральными законами от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" и от 25.12.2008 N 273-ФЗ "О противодействии коррупции".

2.3. Обработка специальных категорий персональных данных (определенных частью 1 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных") субъектов, указанных в подпункте 1.5.1 пункта 1.5 Положения, осуществляется без согласия указанных лиц в целях, определенных пунктом 2.1 Положения, в соответствии с положениями Трудового кодекса Российской Федерации и пунктом 2.3 части 2 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", за исключением случаев получения персональных данных у третьей стороны.

2.4. Обработка персональных данных субъектов, указанных в подпункте 1.5.1 пункта 1.5 Положения, осуществляется при условии получения согласия указанных лиц в следующих случаях:

2.4.1. при передаче (распространении, предоставлении, доступе) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации в области персональных данных;

2.4.2. при трансграничной передаче персональных данных;

2.4.3. при получении персональных данных у третьей стороны;

2.4.4. при обработке биометрических персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

2.5. В случаях, предусмотренных пунктом 2.4 Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных". Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных и соответствовать требованиям приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".

2.6. Обработка персональных данных субъектов, указанных в подпункте 1.5.1 пункта 1.5 Положения, осуществляется сектором кадров и государственной службы организационно-аналитического отдела Алтайкрайимущества (далее - кадровое подразделение Алтайкрайимущества), включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), уничтожение персональных данных.

2.7. Обработка персональных данных государственных служащих и работников Алтайкрайимущества осуществляется отделом бухгалтерского учета и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), уничтожение персональных данных.

2.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, указанных в подпункте 1.5.1 пункта 1.5 Положения, осуществляются путем:

2.8.1. получения оригиналов необходимых документов (заявление, трудовая книжка и (или) сведения о трудовой деятельности на бумажном носителе, заверенные надлежащим образом, или в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, автобиография, иные документы, предоставляемые в кадровое подразделение Алтайкрайимущества);

2.8.2. копирования оригиналов документов;

2.8.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

2.8.4. формирования персональных данных в ходе кадровой работы;

2.8.5. внесения персональных данных в информационные системы персональных данных (далее - ИСПДн).

2.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от государственных служащих и работников, граждан, претендующих на замещение должностей государственной службы Алтайкрайимущества, должностей, не являющихся должностями государственной службы, лиц, замещающих должности руководителей подведомственных Алтайкрайимуществу организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Алтайкрайимуществу организаций.

2.10. До начала обработки персональных данных субъектов, указанных в подпункте 1.5.1 пункта 1.5 Положения, полученных от третьих лиц, Алтайкрайимущество обязано предоставить указанным лицам информацию, предусмотренную частью 3 статьи 18 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

2.11. Запрещается получать, обрабатывать и приобщать к личному делу государственного служащего или работника либо лица, замещающего должность руководителя подведомственной Алтайкрайимуществу организации, персональные данные, не предусмотренные пунктом 1.6 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

2.12. При сборе персональных данных сотрудник кадрового подразделения Алтайкрайимущества, осуществляющий сбор (получение) персональных данных непосредственно от государственных служащих и работников, граждан, претендующих на замещение должностей государственной службы Алтайкрайимущества, должностей, не являющихся должностями государственной службы, лиц, замещающих должности руководителей подведомственных Алтайкрайимуществу организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Алтайкрайимуществу организаций, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные и (или) дать согласие на их обработку, сбор которых предусмотрен требованиями действующего законодательства.

2.13. Передача (распространение, предоставление, доступ) и использование персональных данных субъектов, указанных в подпункте 1.5.1 пункта 1.5 Положения, осуществляются только в случаях и в порядке, предусмотренных федеральными законами.

3. Условия и порядок обработки персональных данных в связи с выполнением возложенных на Алтайкрайимущество государственных функций

3.1. В Алтайкрайимуществе обработка персональных данных физических лиц осуществляется в целях исполнения возложенных на Алтайкрайимущество государственных функций.

3.2. Персональные данные граждан, обратившихся в Алтайкрайимущество лично, а также направивших индивидуальные или коллективные письменные обращения, или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в Алтайкрайимуществе подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

3.3. Персональные данные граждан обрабатываются в Алтайкрайимуществе в объеме, необходимом и достаточном для выполнения государственных функций в соответствии с нормативными правовыми актами, регулирующими сферу деятельности Алтайкрайимущества.

3.4. Обработка персональных данных, необходимых в связи с исполнением государственных функций, осуществляется структурными подразделениями Алтайкрайимущества, исполняющими соответствующие государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, уничтожение персональных данных.

3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

3.6. При исполнении государственных функций Алтайкрайимуществом запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации, законодательством Алтайского края и настоящим Положением.

3.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Алтайкрайимущества, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся в связи с исполнением Алтайкрайимуществом государственных функций, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные, сбор которых предусмотрен требованиями действующего законодательства.

3.8. Передача (распространение, предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляются только в случаях и в порядке, предусмотренных федеральными законами.

3.9. Обработка персональных данных лиц, представленных к награждению (поощрению), в отношении которых в Алтайкрайимущество внесены соответствующие ходатайства, осуществляется в целях и по основаниям, предусмотренных законодательством о наградах (поощрениях) и принятыми на их основе нормативными правовыми актами Алтайского края и Алтайкрайимущества.

3.10. Обработка персональных данных кандидатов в Общественный совет при Алтайкрайимуществе осуществляется в целях и по основаниям, предусмотренных законодательством об общественном контроле и принятыми на их основе нормативными правовыми актами Алтайского края и Алтайкрайимущества.

4. Организация обработки и обеспечения безопасности персональных данных в ИСПДн Алтайкрайимущества

4.1. Обработка персональных данных в Алтайкрайимуществе может осуществляться как с использованием ИСПДн, так и без использования таковых.

4.2. Перечень ИСПДн Алтайкрайимущества утверждается приказом Алтайкрайимущества в соответствии с подпунктом "б" пункта 1 постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

4.3. Трансграничная передача персональных данных в Алтайкрайимуществе не осуществляется. Все используемые в Алтайкрайимуществе программные, аппаратные и программно-аппаратные средства расположены на территории Российской Федерации.

4.4. Обработка персональных данных в целях выполнения, возложенных на Алтайкрайимущество государственных функций, а также реализации служебных (трудовых) отношений может осуществляться с использованием иных ИСПДн, владельцем которых Алтайкрайимущество не является.

4.5. Государственным служащим и работникам Алтайкрайимущества, имеющим право осуществлять обработку персональных данных в ИСПДн, предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн.

4.6. Информация вносится в ИСПДн в автоматизированном либо ручном режиме (при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию).

4.7. Обработка персональных данных в статистических или иных исследовательских целях осуществляется при условии обязательного обезличивания персональных данных.

4.8. Обеспечение безопасности персональных данных и предотвращения причинения субъекту персональных данных вреда достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также аппаратными и (или) программными средствами, что требует принятия следующих мер:

4.8.1. определение актуальных угроз безопасности персональных данных;

4.8.2. разработка организационно-распорядительных и организационно-методических документов по обеспечению безопасности персональных данных;

4.8.3. оценка вреда, который может быть причинен категориям субъектов, производится на основе законодательства Российской Федерации;

4.8.4. ограничение доступа к установке, изменению (обновлению) и удалению программного обеспечения в ИСПДн;

4.8.5. применение прошедших в установленном законодательством Российской Федерации порядке процедур оценки соответствия средств защиты информации;

4.8.6. применение процедуры идентификации и аутентификации для доступа к ИСПДн;

4.8.7. обеспечение безопасности помещений, в которых ведется работа с персональными данными, а также обеспечение отсутствия возможности неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц;

4.8.8. обеспечение сохранности технических средств и носителей персональных данных;

4.8.9. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн Алтайкрайимущества;

4.8.10. учет машинных носителей персональных данных;

4.8.11. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;

4.8.12. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

4.8.13. установление правил доступа к персональным данным, обрабатываемым в ИСПДн Алтайкрайимущества, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;

4.8.14. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн Алтайкрайимущества.

4.9. Меры, указанные в пункте 4.8 Положения, реализуются в соответствии с положениями действующего законодательства Российской Федерации и принятыми локальными правовыми актами.

4.10. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн, владельцем которых Алтайкрайимущество не является, организуется с учетом требований, предъявляемых владельцами таких систем к обеспечению информационной безопасности.

4.11. Алтайкрайимущество в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

4.12. Лица, уполномоченные в Алтайкрайимуществе осуществлять обработку и обеспечение безопасности персональных данных, несут ответственность за соблюдение требований по защите персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации, настоящим Положением.

5. Особенности обработки и обеспечения безопасности персональных данных, осуществляемой без использования средств автоматизации

5.1. Персональные данные, предоставляемые субъектами персональных данных на бумажном носителе в связи с реализацией Алтайкрайимуществом служебных (трудовых) отношений либо выполнения, возложенных на Алтайкрайимущество государственных функций, хранятся на бумажных носителях в структурных подразделениях Алтайкрайимущества, к полномочиям которых относится обработка персональных данных в соответствии с положениями об этих структурных подразделениях.

5.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях, в специальных разделах или на полях форм (бланков).

5.3. При обработке персональных данных должно обеспечиваться раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.

5.4. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

5.5. Контроль за хранением и использованием материальных носителей персональных данных в целях недопущения несанкционированного использования, уточнения, распространения и уничтожения персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Алтайкрайимущества.

5.6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте неавтоматизированной обработки ими персональных данных, категориях обрабатываемых персональных данных, а также ознакомлены с особенностями и правилами осуществления такой обработки, установленными законодательством Российской Федерации в области персональных данных, а также Положением.

6. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных

6.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в области персональных данных, в Алтайкрайимуществе используются следующие процедуры:

6.1.1. осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

6.1.2. оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", соотношение указанного вреда и принимаемых Алтайкрайимуществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

6.1.3. ознакомление государственных служащих и работников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации в области персональных данных, в том числе с требованиями к защите персональных данных, Положением и (или) обучение государственных служащих и работников;

6.1.4. ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

6.1.5. недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;

6.1.6. недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;

6.1.7. соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

6.1.8. обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях актуальности по отношению к целям обработки персональных данных.

7. Порядок хранения и уничтожения персональных данных

7.1. Персональные данные, полученные Алтайкрайимуществом на бумажном и (или) электронном носителях, хранятся в соответствующих структурных подразделениях Алтайкрайимущества, к полномочиям которых относится обработка персональных данных в соответствии с положениями об этих структурных подразделениях.

7.2. Хранение личных дел лиц, уволенных с государственной службы, руководителей подведомственных Алтайкрайимуществу организаций осуществляется в соответствии с Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30.05.2005 N 609.

7.3. Срок хранения персональных данных, внесенных в ИСПДн Алтайкрайимущества, должен соответствовать сроку хранения бумажных носителей, содержащих эти персональные данные.

7.4. Персональные данные субъектов персональных данных на бумажных носителях хранятся в течение сроков их хранения, установленных федеральными законами, иными нормативными правовыми актами Российской Федерации, а также Перечнем типовых управл