Приложение N 1. Правила обработки персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края. Приказ Службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 29.05.2023 N 1нп "Об обработке и защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края"

Приложение N 1
к приказу службы финансово-
экономического контроля и контроля
в сфере закупок Красноярского края
от 29.05.2023 N 1нп

Правила
обработки персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края

1. Общие положения

1.1. Настоящие Правила обработки персональных данных (далее - Правила) определяют цели, условия и порядок обработки персональных данных, устанавливают общие требования к обеспечению безопасности персональных данных, обрабатываемых в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба) с использованием средств автоматизации или без использования таких средств.

1.2. Правила разработаны в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иными нормативными правовыми актами.

1.3. Понятия и термины, используемые в Правилах, применяются в том же значении, что и в Федеральном законе N 152-ФЗ.

1.4. Обработка персональных данных в Службе осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных.

1.5. Обработка персональных данных в Службе допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Службу функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием Службы в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

4) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

1.6. При обработке персональных данных Службой могут осуществляться любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.7. К работе с персональными данными допускаются лица, должности которых включены в перечень должностей государственных гражданских служащих Службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение N 8 к приказу службы от 29.05.2023 N 1нп).

1.8. Обработка в Службе персональных данных осуществляется в информационных системах персональных данных, в которых Служба является оператором.

1.9. Действие настоящих Правил не распространяется на отношения, возникающие при:

1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2. Цели обработки персональных данных

2.1. Оформление приема, организация учета, перевода и увольнения государственных гражданских служащих Службы и иных работников в соответствии с законодательством Российской Федерации, ведение всей отчетности по кадровым вопросам, расчет заработной платы, оформление свидетельства пенсионного страхования и зарплатных карт, профилактика коррупционных и иных правонарушений, ведение воинского учета и бронирования граждан Российской Федерации, пребывающих в запасе Вооруженных Сил Российской Федерации и работающих в Службе (далее - реализация служебных или трудовых отношений).

2.2. Организация практики студентов образовательных организаций высшего образования.

2.3. Реализация задач в Службе по организации и осуществлению общественного контроля за деятельностью Службы.

2.4. Учет, регистрация и обеспечение рассмотрения устных, письменных обращений, поступивших в Службу.

2.5. Осуществление внутреннего государственного финансового контроля в сфере бюджетных правоотношений, контроля в сфере закупок товаров, работ, услуг в отношении закупок для обеспечения нужд края и муниципальных нужд муниципальных образований, находящихся на территории Красноярского края, регионального государственного надзора в сфере ценообразования (за исключением полномочий, отнесенных к компетенции иных органов исполнительной власти края), осуществление Службой иных функций (далее - осуществление государственных функций).

3. Категории субъектов персональных данных

3.1. Субъектами персональных данных, обрабатываемых в Службе, являются:

1) государственные гражданские служащие Службы (далее - государственные гражданские служащие);

2) сотрудники Службы, замещающие должности, не являющиеся должностями государственной гражданской службы (далее - работники);

3) граждане, претендующие на замещение вакантных должностей государственной гражданской службы, а также должностей, не являющихся должностями государственной гражданской службы (далее - претенденты на замещение должностей);

4) граждане, представившие персональные данные для участия в конкурсах на замещение вакантных должностей государственной гражданской службы (на включение в кадровый резерв) в Службе;

5) граждане, претендующие на членство в Общественном совете при Службе;

6) члены Общественного совета при Службе;

7) граждане, проходящие практику (стажировку) в Службе на основании договоров с образовательными организациями высшего образования;

8) граждане, обратившиеся в Службу в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

9) граждане, обратившиеся в Службу в соответствии с постановлением Правительства Российской Федерации от 10.07.2013 N 584 "Об использовании федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме";

10) субъекты персональных данных, персональные данные которых обрабатываются в связи с осуществлением Службой государственных функций.

4. Содержание и объем обрабатываемых персональных данных

4.1. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящих Правил.

4.3. Содержание обрабатываемых персональных данных определено перечнем персональных данных, обрабатываемых в Службе в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных и иных функций (приложение N 6 к приказу службы от 29.05.2023 N 1нп).

5. Порядок и условия обработки персональных данных

5.1. Получение персональных данных может осуществляться как путем их предоставления Службе самим субъектом персональных данных, так и путем получения персональных данных Службой из иных источников в том случае, если персональные данные возможно получить только у третьей стороны.

Если персональные данные получены не от субъекта персональных данных и такое получение не предусмотрено частью 4 статьи 18 Федерального закона N 152-ФЗ, то до начала обработки таких персональных данных Служба обязана предоставить субъекту персональных данных информацию, предусмотренную частью 3 статьи 18 Федерального закона N 152-ФЗ.

5.2. Служба не имеет права получать и обрабатывать сведения, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.

5.3. Служба создает необходимые условия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.

5.4. Обработка персональных данных осуществляется путем:

получения персональных данных в письменной форме непосредственно от субъектов персональных данных;

получения персональных данных из общедоступных источников;

внесения персональных данных в журналы, реестры и информационные системы Службы;

использования иных способов обработки персональных данных.

5.5. Передача персональных данных субъекта любым физическим или юридическим лицам может быть осуществлена только с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

5.6. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Фонд пенсионного и социального страхования Российской Федерации, уполномоченные исполнительные органы власти Красноярского края и иные учреждения и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

6. Сроки обработки и хранения персональных данных, уничтожение персональных данных

6.1. Сроки обработки персональных данных устанавливаются в соответствии с действующим законодательством Российской Федерации.

Если сроки обработки персональных данных законодательством Российской Федерации не установлены, то обработка персональных данных осуществляется не дольше, чем этого требуют цели их обработки.

6.2. Срок обработки персональных данных исчисляется с момента получения Службой персональных данных до достижения целей обработки персональных данных.

6.3. После достижения цели обработки персональных данных, если это предусмотрено федеральными законами, нормативными актами или в письменном согласии субъекта персональных данных, персональные данные помещаются в архив и хранятся в течение срока, установленного законодательством Российской Федерации.

6.4. Если в течение срока архивного хранения субъект персональных данных направил в адрес Службы заявление об отзыве согласия на обработку персональных данных, Служба обязана по истечении срока архивного хранения уничтожить персональные данные субъекта с составлением соответствующего акта.

6.5. Уничтожение персональных данных осуществляется по истечении соответствующего срока хранения. Для уничтожения персональных данных приказом руководителя Службы создается комиссия, которая проводит уничтожение персональных данных.

6.6. Носители, содержащие персональные данные, уничтожаются таким способом, чтобы после процедуры уничтожения не представилось возможным восстановить данные. По результатам уничтожения составляется акт об уничтожении персональных данных, который подписывается комиссией, созданной для уничтожения персональных данных.

7. Права субъекта персональных данных

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Службой;

правовые основания и цели обработки персональных данных;

цели и применяемые Службой способы обработки персональных данных;

наименование и место нахождения Службы, сведения о лицах (за исключением государственных гражданских служащих Службы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора со Службой или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Службы, если обработка поручена или будет поручена такому лицу;

информацию о способах исполнения Службой обязанностей, установленных статьей 18.1 Федерального закона N 152-ФЗ;

иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.

7.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также по иным основаниям, предусмотренным Федеральным законом N 152-ФЗ или другими федеральными законами.

8. Права и обязанности службы

8.1. До начала обработки персональных данных Служба обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных в соответствии со статьей 22 Федерального закона N 152-ФЗ.

8.2. Служба, получившая доступ к персональным данным, обязана не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

8.3. При сборе персональных данных Служба обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона N 152-ФЗ.

8.4. Если предоставление персональных данных и (или) получение согласия на обработку персональных данных являются обязательными, Служба обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

8.5. Если персональные данные получены не от субъекта персональных данных, Служба, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона N 152-ФЗ, до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию:

наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

цель обработки персональных данных и ее правовое основание;

перечень персональных данных;

предполагаемые пользователи персональных данных;

установленные Федеральным законом N 152-ФЗ права субъекта персональных данных;

источник получения персональных данных.

8.6. Служба освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 8.5 настоящих Правил, в случаях, если:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

персональные данные получены Службой на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона N 152-ФЗ;

Служба осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;

предоставление субъекту персональных данных сведений, предусмотренных пунктом 8.5 настоящих Правил, нарушает права и законные интересы третьих лиц.

8.7. Служба самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

К таким мерам, установленным в Службе, относятся:

назначение ответственного за организацию обработки персональных данных в Службе;

издание документов, определяющих политику Службы в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона N 152-ФЗ;

осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам Службы;

оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых Службой мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ;

ознакомление государственных гражданских служащих Службы, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Службы в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) их обучение;

создание необходимых условий для работы с персональными данными и их хранения, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним.

8.8. Служба обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

8.9. В случае выявления неправомерной обработки персональных данных, неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Служба обязана действовать в соответствии положениями статьи 21 Федерального закона N 152-ФЗ.

8.10. В случае достижения цели обработки персональных данных либо отзыва субъектом персональных данных согласия на обработку его персональных данных Служба обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Службы) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Службы) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных либо отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Служба не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

8.11. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных Служба обязана в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Службой в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.12. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.9 - 8.11 настоящих Правил, Служба осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Службы) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.